Les boutons désactivés en HTML sont des éléments de l'interface utilisateur qui sont inactifs et sur lesquels l'utilisateur ne peut pas cliquer. Ils sont souvent utilisés pour masquer des fonctionnalités ou des informations de l'application aux utilisateurs non autorisés.

Par exemple, un bouton “Modifier” peut être désactivé pour empêcher un utilisateur de modifier des données sensibles.

Cependant, il est important de noter que les boutons désactivés ne sont pas censés être utilisés comme méthode de sécurité pour empêcher l’utilisateur de réaliser certaines actions.

Pour exploiter cette vulnérabilité, il est nécessaire d’avoir accès à une page HTML comportant des boutons désactivés.

• Savoir ajouter et modifier des éléments HTML dans une page Web ;
• Savoir utiliser l'attribut “disabled” pour désactiver des éléments de formulaire.

• avoir accès à une console de navigateur (Firefox, Chrome).

Naviguer sur l’application afin d’identifier les boutons comportant l'attribut “disabled”.

Tenter de cliquer sur le bouton et voir si il est bien inactif et qu'il ne réagit pas au clic.

Une exploitation réussie de ce type de vulnérabilité peut permettre :

• L'accès à un espace privé de l'application ;
• La validation d'un formulaire restreint.

Les contre-mesures suivantes peuvent être mises en œuvre :

• Valider les actions et les entrées de l'utilisateur côté serveur plutôt que côté client : cela permet de s'assurer que seules les actions autorisées sont effectuées et que les données sont sécurisées.
• Supprimer les champs désactivés du formulaire : si un champ de formulaire n'est pas utilisé, il est recommandé de le supprimer complètement du formulaire plutôt que de le désactiver. Cela peut empêcher un attaquant de l'utiliser pour envoyer ou forcer l'envoi de données malveillantes.

• Cyber fiches vulnérabilités