Substitution de méthode HTTP activée
| Gravité | Info - Élevée |
|---|---|
| CVEs | |
| Classifications | CWE-287: Improper Authentication |
| Catégorie OWASP | OWASP API8:2023 Security Misconfiguration |
La substitution de méthode HTTP est une fonctionnalité permettant aux clients de remplacer la méthode HTTP par défaut utilisée dans une requête. Cette fonctionnalité est couramment utilisée pour effectuer des actions sur le serveur avec des méthodes HTTP autres que GET et POST, telles que PUT, DELETE, PATCH, etc. Elle est généralement implémentée via des en-têtes personnalisés ou des paramètres de requête spécifiant la méthode HTTP souhaitée.
Cette fonctionnalité peut être exploitée par des attaquants pour contourner les contrôles de sécurité et effectuer des actions non autorisées sur le serveur.
Quel est l’impact ?
Section titled “Quel est l’impact ?”Les attaquants peuvent exploiter cette fonctionnalité pour contourner les contrôles de sécurité et effectuer des actions non autorisées sur le serveur. Voici quelques attaques courantes pouvant être menées via la substitution de méthode HTTP :
- Attaques CSRF
- Contournement de l’authentification
- Contournement des contrôles d’accès
Comment tester ?
Section titled “Comment tester ?”Si vous voulez tester uniquement les problèmes de « Substitution de méthode HTTP activée », vous pouvez utiliser la commande suivante :
vulnapi scan curl [url] --scans misconfiguration.http_method_overridevulnapi scan openapi [OpenAPI_Path_Or_URL] --scans misconfiguration.http_method_overridevulnapi scan graphql --scans misconfiguration.http_method_override [url]Comment corriger ?
Section titled “Comment corriger ?”Pour corriger ce problème, vous devez désactiver la fonctionnalité de substitution de méthode HTTP sur l’API ou le proxy intermédiaire. Vous pouvez le faire en configurant le serveur pour n’accepter que les méthodes HTTP attendues (GET, POST, PUT, DELETE, etc.) et rejeter toute autre méthode non explicitement autorisée.
Si vous ne pouvez pas désactiver ce comportement, assurez-vous de mettre en place des contrôles d’accès et des vérifications de validation adéquats pour empêcher les actions non autorisées, et que ces contrôles ne sont pas impactés par la méthode substituée. Pour ce faire, la pratique habituelle consiste à effectuer les vérifications avant que la substitution de méthode ne soit appliquée.