Anomalie #21935
fermé
[Sécurité] Vulnérabilité brute force
Ajouté par Cyril VAZQUEZ il y a environ 2 ans.
Mis à jour il y a presque 2 ans.
Description
Vulnérabilité de restriction incorrecte des tentatives d'authentification excessives qui pourrait permettre accès non autorisé lorsqu'un attaquant utilise la force brute.
Le code retour envoyé en cas d'utilisateur existant verrouillé est 403, lorsque le code pour un utilisateur inexistant est 401.
- Statut changé de A qualifier à A traiter
- Version cible changé de 2.9 à 2.9.1
- Assigné à changé de Cyril VAZQUEZ à Jérôme BOUCHER
- Tags RM 2.8.X, 2.9.X ajouté
Modification du code HTTP de l'erreur retourné lorsqu'un utilisateur est verrouillé de 403 en 401.
Modification des messages d'erreurs retournés lorsqu'un utilisateur est verrouillé de "L'utilisateur est verrouillé" en "Nom d'utilisateur ou mot de passe invalide ou utilisateur verrouillé"
Modification des messages d'erreurs retournés lorsqu'un utilisateur fait une erreur de mot de passe de "Nom d'utilisateur et / ou mot de passe invalide" en "Nom d'utilisateur ou mot de passe invalide ou utilisateur verrouillé"
À tester sur branche fix/21935_fix_brute_force_login_status_exposure
- Statut changé de A traiter à En cours
- Statut changé de En cours à R&D - En cours
- Statut changé de R&D - En cours à R&D - En test
- Statut changé de R&D - En test à Résolu
Publié sur maarchRM develop et 2.8.X (future 2.8.6)
- Statut changé de Résolu à R&D - Terminé
- Assigné à changé de Jérôme BOUCHER à Cyril VAZQUEZ
- Statut changé de R&D - Terminé à Résolu
- Statut changé de Résolu à A livrer
- Statut changé de A livrer à Livré
- Statut changé de Livré à Clôturé
Formats disponibles : Atom
PDF