Votre entreprise a mis en production une application Web qui permet de distribuer des documents à destination de vos clients via la méthode GET du protocole HTTP avec une URL du type :
https://monsite.com/ressources/download?file=document.pdf

Le pare-feu applicatif (WAF) déployé en amont vient de bloquer l’URL :
https://monsite.com/ressources/download?file=../../../../etc/passwd

Comment appelle-t-on ce type d’attaque sur une application Web ?

[A] LFI (Local File Inclusion)

[B] RFI (Remote File Inclusion)

[C] Directory transversal

[D] XSS (Cross-site Scripting)


reponse linkedin

CBK8 Q11 LINK


Les attaque de type LFI et RFI consistent à exploiter une vulnérabilité dans une application web afin d’inclure des fichiers locaux (LFI) ou distants (RFI) directement sur le serveur web.

Les vulnérabilités de type XSS (Cross-Site Scripting) permettent à un attaquant d’injecter du code javascript malveillant dans des pages web consultées par d’autres utilisateurs. Il existe 3 types de vulnérabilités XSS : type 0 (Dom-based XSS), type 1 (Reflected XSS) et type 2 (Stored XSS).

Dans notre exemple, l’attaquant se sert d’une vulnérabilité de l’application pour chercher à télécharger un fichier (password) situé dans un autre répertoire (/etc) que le répertoire initialement prévu pour les fichiers à télécharger. Il s’agit d’une attaque de type Directory Transversal également appelée Path Transversal.

La bonne réponse est la proposition [C]

tip

Pour en savoir plus sur les attaques applicatives et l’intégration de la sécurité dans le développement des logiciels nous vous recommandons de suivre les modules n°20 et 21 de la formation CISSP de VERISAFE.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE