First commit

2025-12-18 15:21:19 +01:00
commit 559a61c33e
7 changed files with 2376 additions and 0 deletions
--- a/.gitignore
+++ b/.gitignore
@@ -0,0 +1 @@
+/.idea
--- a/README.md
+++ b/README.md
@@ -0,0 +1,198 @@
+# Démonstration A07:2025 - Authentication Failures
+
+## Objectif de la démonstration
+
+Cet atelier illustre concrètement plusieurs vulnérabilités de la catégorie **A07:2025 - Authentication Failures** (échecs d'authentification) de l'owasp.
+
+Vous n'avez **aucun code à écrire**. Votre rôle est d'analyser le comportement de deux points de terminaison (endpoints) à l'aide de postman et d'observer les journaux (logs) du serveur.
+
+## Contexte du projet
+
+Le code `routes/index.js` contient deux routes d'authentification:
+1.  `POST /login-vulnerable`: une implémentation intentionnellement faible.
+2.  `POST /login-securise`: une implémentation corrigée et sécurisée.
+
+## Prérequis
+
+* Node.js et npm installés.
+* Le logiciel postman (ou un équivalent pour tester les api).
+* Ce projet (avec les `node_modules` installés via `npm install`).
+
+## Instructions de lancement
+
+1.  Ouvrez un terminal (par exemple, le terminal intégré de webstorm).
+2.  Lancez le serveur en mode "watch" avec la commande:
+    ```bash
+    nodemon ./bin/www
+    ```
+3.  Gardez cette console visible. C'est ici que vous lirez les journaux (logs) du serveur.
+4.  Ouvrez postman pour effectuer les tests décrits ci-dessous.
+
+---
+
+## Partie 1: Analyse du point de terminaison vulnérable
+
+Testez l'endpoint `POST http://localhost:3000/login-vulnerable` avec postman.
+Assurez-vous d'envoyer vos données en `raw` -> `json` dans l'onglet `Body`.
+
+```mermaid
+flowchart TD
+    a["client envoie requête vers /login-vulnerable"] --> b["serveur recherche l'utilisateur"]
+    b --> c{"utilisateur trouvé ?"}
+    c -- "non" --> d["retour 404 avec message 'utilisateur non trouvé'"]
+    c -- "oui" --> e{"mot de passe valable ?"}
+    e -- "non" --> f["retour 400 avec message 'mot de passe incorrect'"]
+    e -- "oui" --> g["session non régénérée"]
+    g --> h["retour 200 'connexion vulnérable réussie'"]
+```
+
+### Faille 1: énumération de comptes
+
+L'énumération de comptes permet à un attaquant de deviner quels utilisateurs existent dans la base de données en analysant les différentes réponses du serveur.
+
+**Test A: utilisateur inexistant**
+* Requête (body):
+    ```json
+    {
+      "username": "un_utilisateur_inconnu",
+      "password": "123"
+    }
+    ```
+* Réponse (status 404): `Erreur : Utilisateur non trouvé.`
+
+**Test B: utilisateur existant, mauvais mot de passe**
+* Requête (body):
+    ```json
+    {
+      "username": "admin",
+      "password": "mauvais_mot_de_passe"
+    }
+    ```
+* Réponse (status 400): `Erreur : Mot de passe incorrect.`
+
+**Conclusion de la faille 1:**
+Les messages d'erreur sont différents. Un attaquant peut créer un script pour tester des milliers de noms d'utilisateurs et savoir lesquels sont valides (ceux qui retournent "mot de passe incorrect").
+
+### Faille 2: mots de passe en clair et absence de limitation
+
+Cette route compare directement le mot de passe reçu avec un mot de passe stocké en clair (`password_vulnerable`).
+
+```mermaid
+flowchart TD
+    a["client envoie requête vers /login-securise"] --> b["serveur recherche l'utilisateur (sans distinction dans la réponse)"]
+    b --> c["vérification avec 'bcrypt.compare'"]
+    c --> d{"identifiants valides ?"}
+    d -- "non" --> e["retour 401 'identifiants invalides'"]
+    d -- "oui" --> f["regeneration de la session"]
+    f --> g["retour 200 'connexion sécurisée réussie'"]
+```
+
+**Test C: attaque par force brute**
+* Le serveur n'implémente aucune limitation de tentatives (rate limiting).
+* Un attaquant pourrait tester des millions de mots de passe pour l'utilisateur "admin" sans jamais être bloqué.
+
+### Faille 3: fixation de session
+
+La fixation de session se produit lorsque l'identifiant de session d'un utilisateur n'est pas renouvelé après une authentification réussie.
+
+**Test D: connexion réussie**
+* Requête (body):
+    ```json
+    {
+      "username": "admin",
+      "password": "password123"
+    }
+    ```
+* Réponse (status 200): `Connexion (vulnérable) réussie pour admin !`
+
+* **Action requise:** regardez maintenant la console de votre serveur (dans webstorm).
+* Vous devriez voir les logs suivants:
+    ```
+    [VULNÉRABLE] Session AVANT login: [un long identifiant]
+    [VULNÉRABLE] Session APRÈS login: [le même identifiant] (INCHANGÉE)
+    ```
+
+**Conclusion de la faille 3:**
+L'identifiant de session est le même avant et après le login. Si un attaquant parvenait à "fixer" (donner) un identifiant de session à un utilisateur avant sa connexion (par exemple, via un lien piégé), il pourrait usurper son identité une fois l'utilisateur connecté.
+
+---
+
+## Partie 2: Analyse du point de terminaison corrigé
+
+Testez maintenant l'endpoint `POST http://localhost:3000/login-securise`.
+
+### Correction 1: prévention de l'énumération de comptes
+
+**Test A (corrigé): utilisateur inexistant**
+* Requête (body):
+    ```json
+    {
+      "username": "un_utilisateur_inconnu",
+      "password": "123"
+    }
+    ```
+* Réponse (status 401): `Identifiants invalides.`
+
+**Test B (corrigé): utilisateur existant, mauvais mot de passe**
+* Requête (body):
+    ```json
+    {
+      "username": "admin",
+      "password": "mauvais_mot_de_passe"
+    }
+    ```
+* Réponse (status 401): `Identifiants invalides.`
+
+**Conclusion de la correction 1:**
+La réponse est identique dans les deux cas. Il est désormais impossible pour un attaquant de distinguer un nom d'utilisateur invalide d'un mot de passe invalide.
+
+### Correction 2: hachage et régénération de session
+
+**Test D (corrigé): connexion réussie**
+* Le code utilise `bcrypt.compare` pour comparer de manière sécurisée le mot de passe fourni avec le hash stocké.
+* Requête (body):
+    ```json
+    {
+      "username": "admin",
+      "password": "password123"
+    }
+    ```
+* Réponse (status 200): `Connexion (sécurisée) réussie pour admin !`
+
+* **Action requise:** regardez à nouveau la console du serveur.
+* Vous devriez voir ces logs:
+    ```
+    [SÉCURISÉ] Session AVANT login: [un premier identifiant]
+    [SÉCURISÉ] Session APRÈS login: [un nouvel identifiant] (CHANGÉE)
+    ```
+
+**Conclusion de la correction 2:**
+Le serveur a explicitement régénéré la session (`req.session.regenerate`). L'ancien identifiant est invalidé et un nouveau est créé, empêchant toute attaque de type "fixation de session".
+
+### Correction 3: limitation des tentatives (rate limiting)
+
+**Test E (corrigé): attaque par force brute**
+* Envoyez la requête du "Test B (corrigé)" (avec un mauvais mot de passe) 11 fois de suite.
+* Les 10 premières tentatives renverront `Identifiants invalides.`
+* À la 11ème tentative (et pour les suivantes pendant 15 minutes), vous recevrez:
+* Réponse (status 429): `Trop de tentatives de connexion. Réessayez dans 15 minutes.`
+
+**Conclusion de la correction 3:**
+Le serveur empêche activement les attaques par force brute ou par "credential stuffing" en limitant le nombre d'échecs autorisés par adresse ip.
+
+## Conclusion
+
+Cette démonstration a mis en évidence plusieurs vulnérabilités courantes liées à l'authentification, ainsi que les mesures correctives appropriées pour les atténuer.
+
+```mermaid
+flowchart LR
+    a["vulnérabilité : énumération de comptes"] --> b["risque : découverte des utilisateurs valides"]
+    c["vulnérabilité : mots de passe en clair"] --> d["risque : compromission immédiate"]
+    e["vulnérabilité : pas de rate limiting"] --> f["risque : force brute illimitée"]
+    g["vulnérabilité : session non régénérée"] --> h["risque : fixation de session"]
+
+    i["mesure : message d'erreur uniforme"] --> a
+    j["mesure : mot de passe hashé"] --> c
+    k["mesure : rate limiting"] --> e
+    l["mesure : regeneration de session"] --> g
+```
--- a/app.js
+++ b/app.js
@@ -0,0 +1,51 @@
+var createError = require('http-errors');
+var express = require('express');
+var path = require('path');
+var cookieParser = require('cookie-parser');
+var logger = require('morgan');
+var session = require('express-session');
+
+var indexRouter = require('./routes/index');
+var app = express();
+
+// view engine setup
+app.set('views', path.join(__dirname, 'views'));
+app.set('view engine', 'pug');
+
+app.use(logger('dev'));
+app.use(express.json());
+app.use(express.urlencoded({ extended: false }));
+app.use(cookieParser());
+app.use(express.static(path.join(__dirname, 'public')));
+
+// Activation du middleware de session
+// DOIT être placé AVANT l'utilisation du routeur (app.use('/', indexRouter))
+app.use(session({
+  // !! IMPORTANT !! Changez ce secret pour une longue phrase aléatoire en production
+  secret: 'un-secret-temporaire-pour-le-developpement',
+  resave: false,
+  saveUninitialized: true,
+  cookie: {
+    secure: false // Mettez 'true' si votre site est en HTTPS
+  }
+}));
+
+app.use('/', indexRouter);
+
+// catch 404 and forward to error handler
+app.use(function(req, res, next) {
+  next(createError(404));
+});
+
+// error handler
+app.use(function(err, req, res, next) {
+  // set locals, only providing error in development
+  res.locals.message = err.message;
+  res.locals.error = req.app.get('env') === 'development' ? err : {};
+
+  // render the error page
+  res.status(err.status || 500);
+  res.render('error');
+});
+
+module.exports = app;
--- a/bin/www
+++ b/bin/www
@@ -0,0 +1,90 @@
+#!/usr/bin/env node
+
+/**
+ * Module dependencies.
+ */
+
+var app = require('../app');
+var debug = require('debug')('authentification:server');
+var http = require('http');
+
+/**
+ * Get port from environment and store in Express.
+ */
+
+var port = normalizePort(process.env.PORT || '3000');
+app.set('port', port);
+
+/**
+ * Create HTTP server.
+ */
+
+var server = http.createServer(app);
+
+/**
+ * Listen on provided port, on all network interfaces.
+ */
+
+server.listen(port);
+server.on('error', onError);
+server.on('listening', onListening);
+
+/**
+ * Normalize a port into a number, string, or false.
+ */
+
+function normalizePort(val) {
+  var port = parseInt(val, 10);
+
+  if (isNaN(port)) {
+    // named pipe
+    return val;
+  }
+
+  if (port >= 0) {
+    // port number
+    return port;
+  }
+
+  return false;
+}
+
+/**
+ * Event listener for HTTP server "error" event.
+ */
+
+function onError(error) {
+  if (error.syscall !== 'listen') {
+    throw error;
+  }
+
+  var bind = typeof port === 'string'
+    ? 'Pipe ' + port
+    : 'Port ' + port;
+
+  // handle specific listen errors with friendly messages
+  switch (error.code) {
+    case 'EACCES':
+      console.error(bind + ' requires elevated privileges');
+      process.exit(1);
+      break;
+    case 'EADDRINUSE':
+      console.error(bind + ' is already in use');
+      process.exit(1);
+      break;
+    default:
+      throw error;
+  }
+}
+
+/**
+ * Event listener for HTTP server "listening" event.
+ */
+
+function onListening() {
+  var addr = server.address();
+  var bind = typeof addr === 'string'
+    ? 'pipe ' + addr
+    : 'port ' + addr.port;
+  debug('Listening on ' + bind);
+}
--- a/package-lock.json
+++ b/package-lock.json
--- a/package.json
+++ b/package.json
@@ -0,0 +1,20 @@
+{
+  "name": "authentification",
+  "version": "0.0.0",
+  "private": true,
+  "scripts": {
+    "start": "node ./bin/www"
+  },
+  "dependencies": {
+    "bcrypt": "^6.0.0",
+    "cookie-parser": "~1.4.4",
+    "debug": "~2.6.9",
+    "express": "~4.16.1",
+    "express-rate-limit": "^8.2.1",
+    "express-session": "^1.18.2",
+    "http-errors": "~1.6.3",
+    "morgan": "~1.9.1",
+    "nodemon": "^3.1.10",
+    "pug": "2.0.0-beta11"
+  }
+}
--- a/routes/index.js
+++ b/routes/index.js
@@ -0,0 +1,109 @@
+var express = require('express');
+var router = express.Router();
+var bcrypt = require('bcrypt');
+var rateLimit = require('express-rate-limit');
+
+// --- Base de données simulée ---
+const db = {
+  users: [
+    {
+      id: 1,
+      username: 'admin',
+      password_vulnerable: 'password123',
+      hashedPassword: bcrypt.hashSync('password123', 12)
+    }
+  ]
+};
+
+/* GET home page */
+router.get('/', function(req, res, next) {
+  res.render('index', { title: 'Express' });
+});
+
+// ==========================================================
+// ## 👎 DÉMONSTRATION VULNÉRABLE (A07)
+// ==========================================================
+
+router.post('/login-vulnerable', (req, res) => {
+  // !! REPOSE SUR express.json() et express.session() définis dans app.js !!
+  const { username, password } = req.body;
+
+  const user = db.users.find(u => u.username === username);
+
+  // FAILLE 1 : Énumération de comptes
+  if (!user) {
+    return res.status(404).send('Erreur : Utilisateur non trouvé.');
+  }
+
+  // FAILLE 2 : Stockage et comparaison en clair
+  if (user.password_vulnerable !== password) {
+    return res.status(400).send('Erreur : Mot de passe incorrect.');
+  }
+
+  // FAILLE 3 : Fixation de session
+  req.session.userId = user.id;
+  req.session.username = user.username;
+
+  console.log(`[VULNÉRABLE] Session AVANT login: ${req.sessionID}`);
+  console.log(`[VULNÉRABLE] Session APRÈS login: ${req.sessionID} (INCHANGÉE)`);
+
+  res.send(`Connexion (vulnérable) réussie pour ${user.username} !`);
+});
+
+// ==========================================================
+// ## DÉMONSTRATION CORRIGÉE (A07)
+// ==========================================================
+
+// CORRECTION 4 : Limitation de tentatives (Rate Limiting)
+const loginLimiter = rateLimit({
+  windowMs: 15 * 60 * 1000, // 15 minutes
+  max: 10, // Limite à 10 tentatives par IP par fenêtre de 15 min
+  message: 'Trop de tentatives de connexion. Réessayez dans 15 minutes.'
+});
+
+// Applique le limiteur uniquement à ce point de terminaison
+router.use('/login-securise', loginLimiter);
+
+router.post('/login-securise', async (req, res) => {
+  // !! REPOSE SUR express.json() et express.session() définis dans app.js !!
+  const { username, password } = req.body;
+
+  const user = db.users.find(u => u.username === username);
+
+  // CORRECTION 1 & 2 : Pas d'énumération + Hachage fort
+  const match = user ? await bcrypt.compare(password, user.hashedPassword) : false;
+
+  if (!match) {
+    return res.status(401).send('Identifiants invalides.');
+  }
+
+  // CORRECTION 3 : Régénération de la session
+  const oldSessionId = req.sessionID;
+  req.session.regenerate((err) => {
+    if (err) {
+      console.error(err);
+      return res.status(500).send('Erreur lors de la régénération de session.');
+    }
+    req.session.userId = user.id;
+    req.session.username = user.username;
+
+    console.log(`[SÉCURISÉ] Session AVANT login: ${oldSessionId}`);
+    console.log(`[SÉCURISÉ] Session APRÈS login: ${req.sessionID} (CHANGÉE)`);
+
+    res.send(`Connexion (sécurisée) réussie pour ${user.username} !`);
+  });
+});
+
+// --- Point de déconnexion ---
+router.get('/logout', (req, res) => {
+  // !! REPOSE SUR express.session() défini dans app.js !!
+  req.session.destroy((err) => {
+    if (err) {
+      return res.status(500).send('Impossible de se déconnecter.');
+    }
+    res.clearCookie('connect.sid'); // Nom par défaut du cookie de session
+    res.send('Déconnecté avec succès.');
+  });
+});
+
+module.exports = router;