Les deux révisions précédentes
Révision précédente
Prochaine révision
|
Révision précédente
Prochaine révision
Les deux révisions suivantes
|
enseignement:tiw4 [2015/09/15 15:56] rthion |
enseignement:tiw4 [2016/04/01 13:06] rthion [Évaluation] |
^ Thématique ^ Séance ^^ Diapos ^ Exercices ^ CC ^ | ^ Thématique ^ Séance ^^ Diapos ^ Exercices ^ CC ^ |
^ ::: | ^ ::: |
^ Introduction | 17/09 | 13h45-17h00 - C4 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM0-Introduction.pdf|introduction]] [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM1-AnalyseDeRisques.pdf|analyse de risques EBIOS]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD1.pdf|TD 1]] | | ^ Introduction | 16/09 | 13h30-16h45 - C4 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM0-Introduction.pdf|introduction]] [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM1-AnalyseDeRisques.pdf|analyse de risques EBIOS]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD1.pdf|TD 1]] | |
^ ::: | ^ ::: |
^ Cryptographie | 24/09 | 08h15-09h45 - C1 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre.pdf|cryptographie et applications]] [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Exemples/|exemples]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD2.pdf|TD 2]] | | ^ Cryptographie | 23/09 | 13h30-17h15 - C4 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre.pdf|cryptographie et applications]] [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Exemples/|exemples]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD2.pdf|TD 2]] | |
^ ::: | 24/09 | 13h30-16h00 - C1 | ::: | ::: | | ^ ::: | 07/10 | 13h30-17h15 - C4 | ::: | ::: | |
^ ::: | 01/10 | 13h45-18h00 - C5 | ::: | ::: | | |
^ ::: | ^ ::: |
^ Vie privée | 08/10 | 13h45-17h00 - C4 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM3-Privacy.pdf|introduction à la protection de la vie privée]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD3.pdf|TD 3]] [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TD3_decisions_CNIL/|CNIL]]| **CC1**| | ^ Vie privée | 14/10 | 13h30-17h15 - C4 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM3-Privacy.pdf|introduction à la protection de la vie privée]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD3.pdf|TD 3]] [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TD3_decisions_CNIL/|CNIL]]| **CC1**| |
^ ::: | ^ ::: |
^ Vulnérabilités | 29/10 | 13h45-18h00 - C4 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM4-Vuln.pdf|vulnérabilités logicielles et web]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD4.pdf|TD 4]] | | ^ Vulnérabilités | 28/10 | 13h30-17h15 - C4 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM4-Vuln.pdf|vulnérabilités logicielles et web]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD4.pdf|TD 4]] | |
^ ::: | 05/11 | 13h00-14h00 - C3 | présentation de la plateforme de TP | | ^ ::: | 04/11 | 13h30-18h00 - TP7 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TP-Seed.pdf|TP sur les vulnérabilités web]] | | **Rapport**| |
^ ::: | 05/11 | 14h00-18h00 - TP4| //serious-game// sur les vulnérabilités web | | ^ ::: | ::: | 13h30-18h00 - TP8 | ::: | ::: |::: | |
^ ::: | ::: | 14h00-18h00 - TP5| ::: | | ^ ::: | ::: | 13h30-18h00 - TP11| ::: | ::: |::: | |
^ ::: | 12/11 | 14h00-16h00 - C5 | retours sur le TP| | **rapport** | | |
^ ::: | ^ ::: |
^ Autorisations | 19/11 | 13h45-17h00 - C2| [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM5-Autorisations.pdf|gestion des autorisations]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD5.pdf|TD5]] | **CC2** | | ^ Autorisations | 18/11 | 13h30-17h15 - C5| [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM5-Autorisations.pdf|gestion des autorisations]] | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD5.pdf|TD5]] | **CC2** | |
^ ::: | 03/12 | 13h45-17h00 - C5 | ::: | :::| | ^ ::: | 25/11 | 13h30-17h15 - C5 | ::: | :::| |
^ ::: | ^ ::: |
^ Conclusion | 10/12 | 13h45-15h45 - C5 | débriefing et révisions | | ^ Conclusion | 14/12 |13h30-15h30 - C4| débriefing et révisions | |
^ ::: | 17/12 | 14h00-16h00 - C2 | contrôle final (1h30) | | **CCF**| | ^ ::: | 16/12 | 13h30-15h30 - C2 | contrôle final (1h30) | | **CCF**| |
| |
<note>La [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD-corrections.zip|correction]] des sujets de TD protégée par mot de passe</note> | |
| |
==== Évaluation ==== | |
| |
* 20% : Contrôle continu 1 | <note tip> |
* 20% : Contrôle continu 2 | [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD-correction.zip|Corrections des sujets de TD]] (mot de passe donnée en cours). |
* <del>30%</del> 26% : Compte-rendu de TP | |
* <del>30%</del> 33% : Contrôle continu final | |
| |
//Les modalités de contrôle imposent que le CCF ait un poids de 1 et le contrôle continu un poids de 2// | |
=== Consignes pour le TP === | |
| |
| |
| |
<note important>La plateforme //HackMe// sur les vulnérabilités web est déployée sur http://192.168.74.163:80</note> | |
| |
<note important>Pour la validation de l'exploit CSRF, vous pouvez | |
[[romuald.thion@univ-lyon1.fr?subject=[HackMe]|m'écrire directement]] plutôt que de contacter le webmaster de la plateforme. | |
</note> | </note> |
| |
La plateforme comporte 9 défis intitulés ''r2d2'', ''c3po'', ''lando'', ''leia'', ''han'', ''chewbacca'', ''luke'', ''obiwan'' et ''yoda''. Le rapport contiendra 10 sections une section pour chaque défi et une conclusion. Chaque section consacrée à un défi (merci de respecter les intitulés) contiendra les sous-sections suivantes : | ==== Évaluation ==== |
| |
* type de vulnérabilité : expliquer de quoi il s'agit et trouver une référence associée (e.g., lien sur owasp) | * <del>20%</del> 22% : Contrôle continu 1 |
* exploitation de la vulnérabilité : expliquer comment vous avez réussi à exploiter la faille pour vous ajouter à la liste des gagnants, préciser les outils (e.g., data tampering) et les méthodes utilisés | * <del>20%</del> 22% : Contrôle continu 2 |
* contre-mesure : proposer quelques suggestions pour éviter ce type de faille | * <del>26%</del> 22% : Compte-rendu de TP |
| * <del>33%</del> 34% : Contrôle continu final |
| * Présence du 25/11/15 : bonus/malus -0.5 (ABI), 0 (PRES), jusqu'à +0.5 (PRES et exercice fait) |
| |
La section conclusion est libre : il s'agit de prendre un peu de recul pour voir ce que ce TP vous a apporté. | //Les modalités de contrôle imposent que le CCF ait un poids de 1 et le contrôle continu un poids de 2// |
L'évaluation du rapport portera sur : la qualité de la rédaction, le nombre de défis remportés et la valeur ajoutée de chaque section. | |
| |
<note important>Le rapport est à rendre par email au format ''pdf'' ou ''html'' le mercredi 12/10 9h du matin **au plus tard**, pour me permettre de préparer une synthèse pour le cours qui aura lieu le même jour à 14h.</note> | |
==== Informations complémentaires ==== | ==== Informations complémentaires ==== |
| |
* [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Annales/|dossier des annales]] (CCF 2010 à 2013, CC1 et CC2 2013). Nota : les exercices du CCF sont généralement intégrés dans les sujets de TD de l'année suivante. | * [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Annales/|dossier des annales]] (CCF 2010 à 2013, CC1 et CC2 2013). Nota : les exercices du CCF sont généralement intégrés dans les sujets de TD de l'année suivante. |
* cours de cryptographie de [[http://crypto.stanford.edu/~dabo/|Dan Boneh]] sur [[https://class.coursera.org/crypto-preview|coursera]] | * cours de cryptographie de [[http://crypto.stanford.edu/~dabo/|Dan Boneh]] sur [[https://class.coursera.org/crypto-preview|coursera]] |
| *// “...no one can hack my mind”: Comparing Expert and Non-Expert Security Practices// un [[https://www.usenix.org/system/files/conference/soups2015/soups15-paper-ion.pdf|article de recherche]] sur la perception de la sécurité selon l'expertise |
| * [[https://www.cs.utexas.edu/~byoung/cs361/syllabus361.html|Introduction to Computer Security, Bill Young]] |