Anomalie #21935
fermé[Sécurité] Vulnérabilité brute force
Description
Vulnérabilité de restriction incorrecte des tentatives d'authentification excessives qui pourrait permettre accès non autorisé lorsqu'un attaquant utilise la force brute.
Le code retour envoyé en cas d'utilisateur existant verrouillé est 403, lorsque le code pour un utilisateur inexistant est 401.
Mis à jour par Cyril VAZQUEZ il y a environ 2 ans
- Statut changé de A qualifier à A traiter
Mis à jour par Cyril VAZQUEZ il y a environ 2 ans
- Assigné à changé de Cyril VAZQUEZ à Jérôme BOUCHER
Mis à jour par Jérôme BOUCHER il y a environ 2 ans
Modification du code HTTP de l'erreur retourné lorsqu'un utilisateur est verrouillé de 403 en 401.
Modification des messages d'erreurs retournés lorsqu'un utilisateur est verrouillé de "L'utilisateur est verrouillé" en "Nom d'utilisateur ou mot de passe invalide ou utilisateur verrouillé"
Modification des messages d'erreurs retournés lorsqu'un utilisateur fait une erreur de mot de passe de "Nom d'utilisateur et / ou mot de passe invalide" en "Nom d'utilisateur ou mot de passe invalide ou utilisateur verrouillé"
À tester sur branche fix/21935_fix_brute_force_login_status_exposure
Mis à jour par Jérôme BOUCHER il y a environ 2 ans
- Statut changé de En cours à R&D - En cours
Mis à jour par Jérôme BOUCHER il y a environ 2 ans
- Statut changé de R&D - En cours à R&D - En test
Mis à jour par Cyril VAZQUEZ il y a environ 2 ans
- Statut changé de R&D - En test à Résolu
Publié sur maarchRM develop et 2.8.X (future 2.8.6)
Mis à jour par Cyril VAZQUEZ il y a environ 2 ans
- Statut changé de Résolu à R&D - Terminé
Mis à jour par Cyril VAZQUEZ il y a environ 2 ans
- Assigné à changé de Jérôme BOUCHER à Cyril VAZQUEZ
Mis à jour par Cyril VAZQUEZ il y a environ 2 ans
- Statut changé de R&D - Terminé à Résolu