Aide toi et la Cyber t’aidera

From Hack with Love!

Quelques définitions typiques de vecteurs d’attaques contres les infrastructures et applications présents sur notre bon vieux web. En effet, l’Active Directory (le fameux AD) est un maillon essentiel, mais les attaquants se concentrent sur la rapidité exécution. A quoi bon passer des jours à essayer de compromettre un AD, alors que les données sensibles et personnelles sont proches dans une base mal sécurisée ou sur un NAS, et en prime elles sont succulemment non chiffrées.

Protection périmétrique

Point de départ d’un attaquant. Évaluation complète des mesures de sécurité en place pour toutes technologies de soutien mises en œuvre dans le cadre de protection périmétrique.

Il est à noter que l’attaque aimée, préférée étant le phishing et ses dérivées.

HTTP Request Smuggling

Résumé – La HTTP Request Smuggling se produit lorsque l’attaquant envoie une requête spécialement conçue qui provoque la désynchronisation des serveurs Front-End et des serveurs Back-End. Cette vulnérabilité se produit lorsque les serveurs Front-End interprètent la requête comme une seule requête alors que les serveurs Back-End l’interprètent comme deux requêtes distinctes (ou vice versa).

Objectif(s) :

Contourner les contrôles de sécurité du front-end (Ex : Accéder au point de terminaison /admin qui devrait normalement renvoyer un 403).
Révéler les modifications apportées par le front-end aux requêtes entrantes.
Capturer les requêtes des autres utilisateurs.
Augmenter l’impact d’un XSS réfléchi en utilisant la HTTP Request Smuggling pour délivrer la charge utile XSS.
Augmenter l’impact d’une redirection interne ouverte à une redirection ouverte à tous.
Tirer parti de la HTTP Request Smuggling pour procéder à l’empoisonnement / la déception du cache web.

IP Address Spoofing

Résumé – La plupart des Reverses Proxy capturent l’adresse IP du client et utilisent cette valeur d’une manière ou d’une autre. Dans les mêmes cas, le proxy utilisera également les valeurs des en-têtes ou d’autres sources pour modifier la valeur de l’adresse IP du client d’une manière ou d’une autre. Si un attaquant est capable de manipuler ce comportement et de contrôler l’adresse IP de socket distante dans le contexte d’une application par exemple, il peut provoquer un comportement inattendu et potentiellement contourner les contrôles de sécurité.

Objectif(s) :

Contourner les restrictions par force brute basées sur l’adresse IP.
Accéder aux zones privilégiées de l’application restreintes par l’adresse IP.
Accéder aux applications internes restreintes par l’adresse IP.

Rate Limiting / Brute-force Protection Bypass

Résumé – Les contrôles de limitation du débit restreignent le nombre de requêtes qu’un utilisateur ou une adresse IP peut effectuer dans un certain laps de temps, tandis que les protections par force brute sont des mécanismes qui détectent et bloquent les tentatives de connexion répétées afin d’empêcher les accès non autorisés ou les attaques par devinette d’identité dans les applications web.

AWS EC2 mal configuré

Résumé – Une instance AWS EC2 (Elastic Compute Cloud) est un serveur virtuel au sein d’Amazon Web Services qui permet aux utilisateurs de louer des ressources informatiques évolutives, telles que la puissance de traitement et la mémoire, pour exécuter des applications et des services à la demande dans le nuage.

Objectif(s) :

Télécharger le fichier Amazon Machine Image (AMI) d’un serveur privé EC2 mal configuré.
Forcer les modèles d’URL publiques pour contourner potentiellement les contrôles de sécurité.
Enumérer les instances EC2 privées mal configurées avec une adresse IP publique.

Common Vulnerabilities and Exposures (CVE's)

Résumé – CVE signifie Common Vulnerabilities and Exposures (vulnérabilités et expositions communes). Il s’agit d’un système utilisé pour identifier et référencer les vulnérabilités et les expositions à la sécurité de l’information connues du public. En substance, les CVE sont utilisées pour suivre et cataloguer les vulnérabilités de divers systèmes logiciels, dispositifs matériels et autres composants technologiques qui peuvent potentiellement être exploités par des attaquants. Sur les plus de 200 000 CVE enregistrées, des milliers sont connus pour affecter les applications web courantes utilisées aujourd’hui.

Objectif(s) :

Accès non autorisé aux systèmes ou aux réseaux.
Vol de données sensibles, telles que des informations personnelles et financières.
Exécution d’un ransomware pour chiffrer les données de la victime et demander une rançon.
Prise de contrôle de systèmes compromis à des fins malveillantes.
Élévation des privilèges au sein d’un système compromis.
Lancer des attaques par déni de service distribué (DDoS) pour perturber les services.
Envoi de charges utiles de logiciels malveillants par le biais de vulnérabilités.
Mise en place de backdoor pour un accès permanent.
Accès à des comptes privilégiés et à des informations critiques.
Perturbation des systèmes par des pannes ou de l’instabilité.
Reconnaissance des réseaux cibles pour planifier d’autres attaques.
Propagation aux systèmes interconnectés pour une plus grande influence.
Gain financier grâce à l’accès non autorisé à des systèmes financiers.
Vol de propriété intellectuelle et de logiciels propriétaires.
Espionnage à des fins de renseignement politique, économique ou militaire.

Divulgation d'informations

Résumé – Certains serveurs web sont configurés avec des règles personnalisés, qui, peuvent entraîner la fuite d’informations précieuses pour un attaquant dans les réponses HTTP renvoyées au client.

Objectif(s) :

Exfiltrer une fraction de la structure des répertoires et du code source par le biais des traces de pile.
Exfiltrer des informations d’identification codées en dur à partir du code source.
Identifier les numéros de version associés à des CVE connues.
Exfiltrer des informations sensibles ou précieuses par le biais d’une messagerie d’erreur verbale personnalisée.

Prise de contrôle d'un sous-domaine

Résumé – Une attaque par prise de contrôle d’un sous-domaine se produit lorsqu’un attaquant identifie un sous-domaine dormant ou non réclamé pointant vers un service tiers (comme un fournisseur de services en nuage), et qu’il prend ensuite le contrôle de ce service. Ce faisant, l’attaquant peut potentiellement manipuler le contenu du sous-domaine ou abuser de ses relations de confiance à des fins malveillantes.

Objectif(s) :

Exploiter le sous-domaine compromis pour mener des campagnes d’hameçonnage sophistiquées et très efficaces.
Injecter du contenu malveillant dans toute application web qui utilise le sous-domaine.
Voler les cookies de session valides des comptes d’utilisateurs sur toute application web qui utilise le sous-domaine compromis.
Enregistrer un enregistrement MX malveillant sur un serveur de messagerie externe afin de mener des campagnes d’hameçonnage sophistiquées et très efficaces.

Vulnérabilités des Cores IT, Cores App

Seconde phase, évaluation, des classes de vulnérabilités qui viennent souvent à l’esprit lorsque la plupart des gens envisagent des attaques contre une infrastructure ouverte sur le net.

Cross-Origin Resource Sharing (CORS)

Résumé – CORS est utilisé pour contrôler les ressources auxquelles les pages extérieures peuvent accéder à partir d’un FQDN spécifique. En cas de mauvaise configuration, un pirate peut créer une page web malveillante qui utilise JavaScript pour accéder à des données sensibles et relayer ces données (via une requête GET) vers le serveur du pirate. Les données sensibles peuvent alors être lues dans les journaux du serveur de l’attaquant.

Objectif(s) :

Accéder à des données sensibles en construisant une page web malveillante qui envoie une requête utilisant le cookie de la victime à une application vulnérable.
Exploiter les paramètres CORS laxistes pour lancer des attaques CSRF, en incitant les utilisateurs authentifiés à exécuter des actions non désirées sur un domaine différent.

La confusion ou l'abus de dépendances

Résumé – La confusion ou l’abus de dépendances est un problème dans lequel les attaquants exploitent les conventions de dénomination des dépôts de paquets publics et privés pour inciter les développeurs à télécharger à leur insu du code malveillant ou des paquets non autorisés au cours du développement de logiciels. Cela se produit lorsque l’environnement local d’un développeur va chercher une dépendance dans un dépôt public alors qu’il a l’intention d’utiliser un paquetage interne, ce qui peut compromettre la chaîne d’approvisionnement des logiciels.

Objectif(s) :

Créer un package malveillant portant le même nom qu’une dépendance interne et le télécharger sur un dépôt public pour que les développeurs l’installent à leur insu.
Créer un package dont le numéro de version ressemble à celui d’un package légitime afin d’exploiter les configurations de la gamme de versions.
Enregistrer des noms de domaines ou de packages similaires pour exploiter les fautes de frappe des développeurs.
Créer des packages dont les noms ressemblent à des dépendances légitimes pour tromper les développeurs.
Développer un package qui semble inoffensif mais qui dépend de packages vulnérables en vue d’attaques futures.
Utiliser des tactiques d’ingénierie sociale telles que l’hameçonnage pour obtenir des informations sensibles.
Compromettre un fournisseur de logiciels pour injecter du code malveillant dans des packages largement utilisés.
Concevoir des packages pour voler des informations d’identification sensibles dans l’environnement d’exécution.
Concevoir des logiciels pour voler et exfiltrer des données.
Exploiter les vulnérabilités des pacakges introduits pour exécuter des codes à distance.

Stored Cross-Site Scripting (XSS)

Résumé – Le cross-site scripting (XSS) est une vulnérabilité de sécurité web où des scripts malveillants sont injectés dans le stockage permanent d’un site web, comme les bases de données ou les sections de commentaires, qui sont ensuite servis aux utilisateurs, provoquant l’exécution des scripts dans leurs navigateurs. Les attaquants peuvent ainsi voler des données sensibles des utilisateurs, détourner des sessions ou propager des logiciels malveillants par le biais de pages web infectées.

Objectif(s) :

Voler des cookies de session pour obtenir un accès non autorisé à des comptes ou à des sessions.
Récupérer des informations sensibles comme les noms d’utilisateur, les mots de passe et les numéros de carte de crédit des victimes.
Effectuer des actions non autorisées au nom des utilisateurs, telles que modifier les paramètres du compte ou effectuer des achats non autorisés.
Créer des pages d’hameçonnage convaincantes pour inciter les utilisateurs à révéler leurs identifiants ou leurs informations personnelles.
Capturer les frappes au clavier des victimes, ce qui peut permettre d’obtenir des données sensibles telles que des mots de passe ou des numéros de carte de crédit.
Exploiter les vulnérabilités des navigateurs au moyen de scripts injectés pour compromettre les navigateurs ou les appareils des utilisateurs.

File Inclusion / Path Traversal

Résumé – L’inclusion de fichiers locaux (LFI) est une vulnérabilité web où les attaquants manipulent les entrées pour inclure et exécuter des fichiers locaux sur un serveur web, exposant potentiellement des informations sensibles. Le Path Traversal est une vulnérabilité similaire où les attaquants manipulent les entrées pour traverser les répertoires, et, accédant potentiellement à des fichiers en dehors de la portée prévue, ce qui peut conduire à l’exposition de données non autorisées ou à l’exécution de code.

Objectif(s) :

Exploiter le Path Traversal pour accéder à des fichiers sensibles en dehors de la racine du site web, tels que les fichiers de configuration ou les journaux du système.
Manipuler l’inclusion de fichiers pour lire ou exfiltrer des données confidentielles, y compris des comptes d’utilisateurs ou des documents privés.
Abuser du Path Traversal pour obtenir un accès non autorisé à des zones restreintes, telles que les panneaux d’administration ou les profils d’utilisateurs.
Rediriger l’inclusion de fichiers pour exécuter des commandes système sur le serveur, compromettant ainsi sa sécurité.
Exploiter l’inclusion de fichiers pour divulguer le code source, exposant ainsi les vulnérabilités de l’application ou des informations propriétaires.
Falsifier les requêtes pour inclure des fichiers distants, ce qui peut faciliter les attaques par exécution de code à distance

Unrestricted File Upload

Résumé – Une vulnérabilité dans le téléchargement de fichiers sans restriction permet aux attaquants de télécharger divers types de fichiers vers une application web sans vérification appropriée, même s’ils ne peuvent pas directement réaliser une exécution de code à distance ou télécharger un shell web. Cela peut néanmoins entraîner des risques de sécurité potentiels tels que le stockage de fichiers infectés par des logiciels malveillants, l’exploitation de mauvaises configurations du serveur ou la possibilité d’autres attaques par le biais d’une utilisation créative du contenu téléchargé.

Objectif(s) :

Contourner les filtres existants pour télécharger des fichiers en dehors des types, tailles ou conventions de nommage autorisés.
Télécharger des fichiers dans un répertoire autre que celui prévu.

Shell Web via l'upload de fichiers

Résumé – Dans le cas d’une vulnérabilité de téléchargement de fichiers sans restriction, si l’attaquant parvient à télécharger un Webshell ou à exécuter un code malveillant, il peut obtenir un accès à distance non autorisé (RCE) au système ou à l’application Web ciblé(e). Cela peut conduire à un contrôle total du système, à des violations de données et à des failles de sécurité potentiellement graves.

Objectif(s) :

Exécuter des commandes arbitraires par le biais de Webshell, ce qui peut compromettre l’ensemble du système.
Utiliser le webshell pour voler des données sensibles sur le serveur ou dans la base de données.
Obtenir un accès permanent à l’application, ce qui permet une exploitation à long terme.
Injecter des backdoor ou des logiciels malveillants dans le serveur, facilitant ainsi d’autres attaques.
Élever les privilèges en exploitant des vulnérabilités ou des configurations erronées.
Dissimuler les activités malveillantes en modifiant les journaux ou les contrôles d’accès.
Lancer des attaques sur d’autres systèmes internes ou ressources du réseau à partir du serveur compromis.
Établir un canal de commande et de contrôle (C2) pour le contrôle et la gestion à distance.
Exploiter le serveur compromis pour lancer des attaques contre des cibles externes ou des systèmes voisins.
Télécharger et exécuter un ransomware pour crypter les données et demander une rançon pour le décryptage.

SQL Injection (SQLI)

Résumé – L’injection SQL est une vulnérabilité web dans laquelle les attaquants manipulent les données d’entrée pour insérer des requêtes SQL malveillantes dans les instructions de requête de la base de données d’une application web, ce qui leur permet potentiellement d’afficher, de modifier ou de supprimer des données dans la base de données. Cela peut entraîner un accès non autorisé à des informations sensibles, des violations de données, voire la compromission complète du backend de l’application.

Objectif(s) :

Extraire des données sensibles de la base de données de l’application, telles que les informations d’identification de l’utilisateur ou les données financières.
Manipuler les mécanismes d’authentification de l’application pour obtenir un accès non autorisé à des comptes d’utilisateurs ou à des zones restreintes.
Modifier, supprimer ou insérer des données non autorisées dans la base de données, ce qui entraîne une corruption des données ou des changements non autorisés.
Détourner les sessions des utilisateurs en altérant les identifiants de session, ce qui permet aux attaquants de se faire passer pour des utilisateurs légitimes
Surcharger le serveur de base de données avec des requêtes gourmandes en ressources, ce qui entraîne un déni de service.
Exécuter un code arbitraire sur le serveur, ce qui permet de prendre le contrôle total de l’application et de l’infrastructure.
Exposer les vulnérabilités ou les informations propriétaires stockées dans la base de données, qui peuvent être exploitées pour obtenir un avantage concurrentiel ou pour mener d’autres attaques.
Injecter des données malveillantes ou des charges utiles de logiciels malveillants dans la base de données, ce qui peut nuire aux utilisateurs ou à l’application.

Déni de Service (DoS)

Résumé – Lors d’une attaque par déni de service (DoS) visant la base de données d’une application web par exemple, un attaquant pourrait inonder la base de données d’un volume écrasant de requêtes malveillantes, telles que des requêtes complexes et gourmandes en ressources ou des téléchargements de données volumineux. Cette charge excessive peut empêcher la base de données de répondre ou la ralentir considérablement, ce qui perturbe le fonctionnement normal de l’application et peut la rendre inaccessible aux utilisateurs légitimes.

Objectif(s) :

Stocker des quantités inhabituellement importantes de données dans la base de données, en utilisant le comportement et les mécanismes prévus, afin de surcharger la base de données et de perturber les opérations normales.
Envoyer un nombre anormalement élevé de requêtes à la base de données, en utilisant le comportement et les mécanismes prévus, afin de surcharger la base de données et de perturber le fonctionnement normal.
Divulgation d’informations.

Indirect Object Reference (IDOR)

Résumé – Dans les applications web, les objets sont utilisés pour représenter et manipuler divers éléments, données et fonctionnalités, ce qui permet aux développeurs d’organiser et d’interagir avec des composants tels que les interfaces utilisateur, les bases de données et les requêtes de serveur d’une manière structurée et efficace.

Une référence indirecte à un objet (IDOR) se produit lorsqu’un utilisateur peut manipuler un paramètre, tel qu’une URL ou un champ de formulaire, pour accéder à des données ou à des fonctionnalités auxquelles il n’est pas autorisé, souvent en modifiant un identifiant numérique. Cette vulnérabilité peut conduire à l’exposition de données ou à des actions non autorisées au sein de l’application.

DNS Rebinding

Résumé – Le rebond DNS est une technique par laquelle un pirate incite le navigateur d’une victime à effectuer des requêtes vers le domaine d’un site web malveillant qui se résout d’abord vers l’adresse IP contrôlée par le pirate, puis vers l’adresse du réseau local de la victime. Cela permet à l’attaquant de contourner la politique de même origine du navigateur et d’interagir potentiellement avec les dispositifs ou les services du réseau local.

Objectif(s) :

Contourner la politique de même origine, ce qui permet à un pirate d’accéder à des ressources sur le réseau local d’une victime ou de les manipuler, ce qui peut compromettre la sécurité et la vie privée.
Exploiter les vulnérabilités des dispositifs connectés au réseau ou des services fonctionnant sur le réseau de la victime.

Fichiers de configuration exposés

Résumé – Les fichiers de configuration sont utilisés par les serveurs pour définir des paramètres et des comportements, ce qui permet aux administrateurs d’adapter les opérations du serveur et d’établir des mesures de sécurité pour l’interface du serveur avec son environnement. Une mauvaise configuration du serveur peut rendre ces fichiers accessibles au public, fournissant ainsi une mine d’informations précieuses aux attaquants.

Objectif(s) :

Exfiltrer les chaînes de connexion à la base de données ou les informations d’identification des fichiers de configuration de la base de données tels que application.properties.
Lire des données sensibles stockées dans des fichiers de variables d’environnement tels que env.js ou .env.
Exploiter les failles logiques pour contourner les contrôles de sécurité mis en œuvre dans le routage du serveur web configuré dans des fichiers tels que httpd.conf ou .htaccess.
Fichiers contenant des clés de chiffrement, des certificats et des configurations de déchiffrement dans des fichiers tels que keystore.jks ou openssl.cnf.

Et Bien d'autres

Puis, l’évaluation du niveau de sécurité de la logique des systèmes et applications de l’infrastructure.

Contrôle d'accès insuffisant

Résumé – Les contrôles d’accès sont mis en œuvre pour s’assurer qu’un client n’a accès qu’aux parties de l’application auxquelles les développeurs ont voulu qu’il accède.

Les contrôles d’accès sont souvent appliqués au client en fonction de l’utilisateur individuel (accès à une page de profil), de la session de l’utilisateur (accès aux pages authentifiées) et du rôle de l’utilisateur (accès à un panneau d’administration). Ces règles dictent ce que le client est « autorisé » à faire dans l’application et peuvent être appliquées avec une grande granularité. Par exemple, un contrôle d’accès peut empêcher un utilisateur d’accéder à l’ensemble d’une application, tandis qu’un autre peut seulement empêcher l’utilisation d’un paramètre supplémentaire pour une requête POST.

Lorsqu’une application présente un « contrôle d’accès insuffisant », cela signifie que les développeurs n’ont pas réussi à appliquer ces règles.

Bypass des restrictions d'authentification

Résumé – Un mécanisme de connexion dans une application web pas exemple est un système qui permet aux utilisateurs de s’authentifier en fournissant des informations d’identification valides (généralement un nom d’utilisateur et un mot de passe) afin d’accéder à leurs comptes ou à des ressources spécifiques au sein de l’application.

Bypass Password Reset Restrictions

Résumé – Les attaquants peuvent exploiter les vulnérabilités d’un mécanisme de réinitialisation de mot de passe d’une application web en exploitant des failles telles que des vérifications d’authentification inadéquates, des jetons de réinitialisation prévisibles ou la compromission d’un compte de messagerie pour initier des réinitialisations de mot de passe non autorisées pour le compte d’une victime, puis prendre le contrôle du compte en définissant un nouveau mot de passe et en verrouillant l’accès à l’utilisateur légitime.

Enumération de noms d'utilisateur

Résumé – Les attaquants peuvent employer diverses méthodes inattendues pour énumérer les noms d’utilisateur dans une application. Ces méthodes comprennent les attaques par force brute, l’observation des réponses d’énumération des utilisateurs, l’exploitation de l’enregistrement des comptes, le test de la fonction « Mot de passe oublié », la récupération des profils d’utilisateurs publics, l’interrogation des noms d’utilisateurs par le biais de la fonctionnalité de recherche, l’exploitation du contenu généré par les utilisateurs et l’accès potentiel aux informations des utilisateurs par le biais de points d’extrémité d’API non protégés. Les conséquences d’une énumération réussie de noms d’utilisateur peuvent aller de l’accès non autorisé à un compte à la récupération de données et à des attaques ciblées.

WebSocket Injection

Résumé – L’injection WebSocket est une vulnérabilité de sécurité web qui permet aux attaquants de manipuler les données envoyées par des connexions WebSocket, ce qui peut conduire à une modification non autorisée des données ou à l’insertion d’un contenu malveillant dans le flux de communication. En exploitant cette vulnérabilité, les attaquants peuvent perturber la communication, injecter des scripts malveillants ou même compromettre l’intégrité des données transmises.

Objectif(s) :

Injecter des données malveillantes ou inattendues dans les messages WebSocket, ce qui peut perturber la communication ou exploiter des vulnérabilités.
Falsifier les messages WebSocket pour usurper l’identité d’un client ou d’un serveur légitime, ce qui peut amener d’autres clients ou le serveur à prendre des mesures non souhaitées.
Intercepter le trafic WebSocket pour voler des informations sensibles transmises entre les clients et le serveur, notamment des informations d’identification, des jetons de session ou d’autres données confidentielles.
Modifier les messages WebSocket en transit afin de manipuler les données échangées, ce qui peut entraîner un traitement incorrect sur le serveur ou les clients.
Injecter du code ou des commandes malveillantes dans les messages WebSocket qui, s’ils sont exécutés sur le serveur, peuvent conduire à l’exécution de code à distance ou à un accès non autorisé.
Surcharger les connexions WebSocket avec un volume élevé de requêtes malveillantes, ce qui entraîne l’épuisement des ressources du serveur ou l’interruption de la communication.
Exploiter les vulnérabilités de WebSocket pour détourner les sessions des utilisateurs, ce qui permet aux attaquants de se faire passer pour des utilisateurs légitimes et d’effectuer des actions en leur nom.
Manipuler les comportements ou les caractéristiques propres au protocole WebSocket pour mener des attaques qui abusent des fonctionnalités de WebSocket, ce qui peut entraîner des vulnérabilités au niveau de l’application.
Inciter les utilisateurs à établir des connexions WebSocket avec des serveurs malveillants, ce qui risque d’exposer des informations sensibles ou d’exécuter des actions pour le compte de la victime.

Injection LDAP

Résumé – L’injection LDAP est une vulnérabilité de sécurité web dans laquelle les attaquants manipulent les données d’entrée d’une manière qui conduit à des interactions involontaires avec un serveur LDAP (Lightweight Directory Access Protocol). En exploitant cette vulnérabilité, les attaquants peuvent potentiellement récupérer des informations non autorisées du serveur, modifier des données ou exécuter des commandes arbitraires.

Objectif(s) :

Injecter des requêtes LDAP élaborées pour manipuler les recherches dans l’annuaire, ce qui peut permettre d’extraire des données sensibles.
Exploiter l’injection LDAP pour contourner l’authentification et obtenir un accès non autorisé à l’application.
Forger des entrées malveillantes pour exécuter des commandes arbitraires sur le serveur LDAP, ce qui peut le compromettre.
Manipuler les requêtes LDAP pour modifier ou supprimer des entrées de l’annuaire, ce qui entraîne une perte de données ou une perturbation.
Injecter des charges utiles pour élever les privilèges et obtenir un accès administratif au serveur LDAP.
Exploiter l’injection LDAP pour exfiltrer des informations sensibles de l’annuaire, ce qui peut compromettre les données des utilisateurs.
Créer des charges utiles pour rechercher des entrées ou des attributs spécifiques dans l’annuaire LDAP.
Injecter des données qui provoquent des requêtes LDAP involontaires, ce qui peut révéler des informations sensibles de l’annuaire.
Falsifier des requêtes LDAP pour accéder à des comptes d’utilisateurs ou les manipuler, ce qui peut conduire à des actions non autorisées
Exploiter l’injection LDAP pour énumérer des utilisateurs, des groupes ou des autorisations dans l’annuaire.
Manipuler des requêtes pour rechercher ou modifier des configurations d’applications stockées dans l’annuaire LDAP.
Injecter des charges utiles pour usurper l’identité d’utilisateurs ou de groupes dans l’annuaire, ce qui peut permettre d’obtenir des privilèges non autorisés.
Exploiter l’injection LDAP pour perturber les services d’annuaire, ce qui peut entraîner un déni de service.
Forger des requêtes LDAP pour faciliter le contournement ou l’abus de la validation des données au sein de l’application
Injecter des données qui déclenchent des erreurs ou des exceptions dans l’annuaire, ce qui peut révéler des informations précieuses.

Ces définitions et méthodologies d’attaques, ne sont pas exhaustives. La cybersécurité ainsi que les acteurs malveillants exploitent d’autres arsenals tel que :

L’OSINT.
La recherche de code source interne sur le dépôt public.
La recherche d’informations d’identification internes/privilégiées sur le dépôt public GitHub.
La recherche de code source interne trouvé sur le Web ou sur « l’el famoso » Dark Web.
Les informations d’identification internes/privilégiées trouvées sur le Web ou sur encore « l’el famoso » Dark Web.