# Description # Une Attaque en répudiation est ce qui se passe quand une application ou un système n'adopte pas les contrôles permettant de bien suivre et d'identifier les actions des utilisateurs, ce qui permet une manipulation malveillante ou par forgeage d'identification de nouvelles actions. Cette attaque peut être utilisée pour modifier, dans les fichiers journaux, les informations retraçant les actions exécutées par un utilisateur malveillant afin de fournir des données erronées, Son utilisation peut être étendue à la manipulation des données en général, de la même manière que l'attaque par spoofing mail messages. Si cette attaque a lieu, les données stockées sur les fichiers journaux peuvent être considérée comme invalides ou trompeuses. # Exemple # Considérons par exemple une application web qui permet un contrôle d'accès et d'autorisation basée sur SESSIONID, mais enregistre les actions des utilisateurs sur la base d'un paramètre défini par l'utilisateur dans l'en-tête du Cookie, comme suit:   POST http://someserver/Upload_file.jsp HTTP/1.1 Host: tequila:8443 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: en-us,en;q=0.5 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: http://someserver/uploads.jsp Cookie: JSESSIONID=EE3BD1E764CD6EED280426128201131C; user=leonardo Content-Type: multipart/form-data; boundary=--------------------------- 263152394310685 Content-Length: 321 Et dont le fichier journal est composé de: Date, Time, Source IP, Source port, Request, User Une fois que les informations utilisateur sont acquises à partir des paramètres utilisateur dans l'en-tête HTTP, un utilisateur malveillant pourrait utiliser un proxy local (par exemple: paros) et le changer par un nom d'utilisateur connu ou inconnu.