Référence structurée — des injections aux failles d'authentification. CVE réels, rapports HackerOne et prévention au niveau du code.
15 classes de vulnérabilités · 92 variantes
Injection de commandes OS (CWE-77/78, OWASP A03:2021) : exécution de commandes arbitraires sur le serveur via des entrées non filtrées — RCE et compromission complète du système.
L'injection SQL (CWE-89, OWASP A03:2021) manipule les requêtes DB pour extraire des identifiants, contourner l'auth et obtenir un RCE via xp_cmdshell ou COPY TO PROGRAM.
SSTI (CWE-1336, OWASP A03:2021) : forcer le moteur de templates à exécuter des expressions contrôlées par l'attaquant — RCE direct sur Jinja2, Twig et Freemarker.
XXE (CWE-611) exploite les parseurs XML qui résolvent des entités externes : divulgation de fichiers, SSRF et RCE possible. Un seul paramètre de parseur suffit à éliminer cette classe.
CSRF (CWE-352, OWASP A01:2021) : force un utilisateur authentifié à exécuter des requêtes non souhaitées en exploitant l'envoi automatique des cookies par le navigateur.
Open redirect (CWE-601) : un attaquant détourne un paramètre de redirection pour envoyer les utilisateurs vers des URLs contrôlées — phishing, vol de tokens OAuth et escalade vers SSRF.
XSS (CWE-79, OWASP A03:2021) : injection de JavaScript dans les pages servies à d'autres utilisateurs — vol de session, collecte d'identifiants et prise de contrôle de compte.
IDOR (CWE-639, OWASP A01:2021) : substituer un identifiant d'objet pour accéder aux données de n'importe quel utilisateur — première cause de violations de données SaaS.
Path traversal (CWE-22) : séquences ../ pour lire /etc/passwd, clés SSH ou .env, escalader vers RCE via empoisonnement de logs ou s'échapper d'un conteneur.
Fixation de session (CWE-384, OWASP A07:2021) : prédéfinir le token de session d'une victime avant connexion pour détourner la session authentifiée sans interception de cookie.
Vulnérabilités JWT (CWE-287) : confusion d'algorithme, force brute de secret HMAC et injection de clé — contournement complet de l'authentification.
Failles logique métier (CWE-840) : manipulation de prix, contournement de workflow, race conditions et empilement de coupons invisibles aux scanners DAST.
Mass assignment (CWE-915, OWASP A04:2021) : modifier des champs objets jamais destinés aux utilisateurs via la liaison automatique ORM — is_admin, role, balance.
Race conditions (CWE-362) : exploiter la fenêtre TOCTOU entre vérification et action — réutilisation de coupons, manipulation de solde et contournement de limites de taux.
SSRF (CWE-918, OWASP A10:2021) : forcer le serveur à requêter des ressources internes — métadonnées cloud IMDSv1, services internes et escalade vers RCE.
