En mai 2026, le portail moncompte.ants.gouv.fr a subi une faille IDOR (Insecure Direct Object Reference) ayant exposé les données de 11,7 millions de Français. L’exploitation, qualifiée de « vraiment stupide » par son auteur, consistait simplement à modifier un identifiant numérique dans une URL pour accéder aux comptes d’autres utilisateurs, faute de vérification d’autorisation entre l’authentification et la récupération des données.
L’article explique que cette vulnérabilité, courante mais critique, survient lorsque les applications ne contrôlent pas si un utilisateur a le droit d’accéder à une ressource spécifique, même après s’être authentifié. L’exemple donné illustre un endpoint /api/account/{id} où seule la session est validée, sans vérification que l’identifiant {id} correspond bien au compte de l’utilisateur connecté.
Pour éviter ce type de faille, l’auteur propose des solutions techniques avec Symfony et PHP, comme l’utilisation de Voters pour gérer les autorisations, l’absence d’IDs exposés dans les URLs, ou des tests automatisés pour détecter les accès non autorisés. Le problème ne dépend pas du framework utilisé, mais de l’absence d’une couche d’autorisation explicite.
Ce billet de blog explique comment sécuriser une fonctionnalité d'import de fichiers en corrigeant les failles SSRF (Server Side Request Forgery) et XXE (XML External Entity). L'auteur décrit comment une vulnérabilité a été découverte dans son application Writizzy, permettant à un utilisateur malveillant d'accéder à des fichiers sensibles du serveur via des requêtes internes ou des protocoles non sécurisés. Des solutions sont proposées pour vérifier les protocoles utilisés et bloquer les accès aux URLs privées ou locales.
Présentation d'une faille par injection HTML intéressante (et c'est pas du XSS) et comment s'en prémunir (utiliser DOMPurify)
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Arachni est un scanneur de vulnérabilités web écrit en Ruby (cross-plateforme) par Tasos Laskos et permettant d’automatiser la détection d’un grand nombre de failles (XSS, SQL Injection, Local File Injection, Remote File Injection, etc.). Il est disponible sous la forme d’une interface web, une application console et une API REST. Types de scans Arachni permet …
Tout est dans le titre
Une dépêche Linuxfr.org sur la faille "shellshock" de bash : très très complète