Différences

Ci-dessous, les différences entre deux révisions de la page.

--- enseignement:tiw4 [2018/09/19 11:13]
rthion [Évaluation]
+++ enseignement:tiw4 [2019/02/04 12:09]
rthion [Programme]
@@ Ligne 6: / Ligne 6: @@
 Retrouvez l'emploi du temps sur  [[http://master-info.univ-lyon1.fr/M2TIW/#planning|le site du M2TIW]].
-  * 20/09 - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM0-Introduction.pdf|Introduction à la sécurité]] et à [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM1-AnalyseDeRisques.pdf|l'analyse de risques]]
+  * 19/09 - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM0-Introduction.pdf|Introduction à la sécurité]] et [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre.pdf|Introduction à la cryptographie]]
-  * 09/10 - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre.pdf|Introduction à la cryptographie]]
+  * 09/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursAuthentification-VincentHurtevent.pdf|cours sur authentification]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursHTTPS-VincentHurtevent.pdf|cours sur HTTPS]]
-  * 10/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursAuthentification-VincentHurtevent.pdf|cours sur authentification]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursHTTPS-VincentHurtevent.pdf|cours sur HTTPS]]
+   * 10/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]] ([[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/tiw4-auth-master.zip|application PhP]], [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/wahoo_BD.sql|script création BD]])
-   * 11/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]] ([[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/tiw4-auth-master.zip|application PhP]], [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/wahoo_BD.sql|script création BD]])
+   * 07/11 - TD principes de la cryptographie  (exercices 15, 23, 24 du chapitre 2 du livret), exemples sur [[http://www.lsv.fr/Software/spore/index.html|SPORE]]
-   * 08/11 - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre.pdf|Introduction à la cryptographie]]
+   * 14/11 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM4-Vuln.pdf|Vulnérabilités]] et CC1
-   * 15/11 - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM2-Chiffre.pdf|Introduction à la cryptographie]] et [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM4-Vuln.pdf|introduction aux vulnérabilités]]
+   * 04/02 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] voir consignes ci-dessous
-   * 06/12 - TP Pen-testing webapp (1/2) (ip kali : 192.168.78.68) [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP-Univ-Lyon1-Blackopsv0.4-student.pdf|sujet]]
+   * 05/02 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] (suite)
-   * 15/12 - TP Pen-testing webapp (2/2)
-   * 10/01 - //Contrôle intermédiaire//
-   * 17/01 - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM5-Autorisations.pdf|Contrôle d'accès]]
-   * 07/02 - [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM5-Autorisations.pdf|Contrôle d'accès]]
-   * 14/02 - Débriefeing, CCF années précédentes
 <note>Le [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-TD-Book.pdf|livret des exercices]]</note>
-<note>**Consignes de rendu pour le TP Pen-testing webapp "blackops"**
+<note>**Consignes de rendu pour HTTPS et authentification **
+La plate-forme de TP "HTTPS et authentification" sera évaluée en 2 parties :
+  - un test sur table le 14/11/2018 comprenant une partie QCM et une partie ouverte comptant pour environ 2/3 de la note du TP;
+  - une évaluation de l'appli d'authentification pour environ 1/3 de la note du TP à rendre pour le 18/11/2018 23h59.
+Une cellule tomuss "Depot_ZIP_PHP" a été ouverte pour déposer un .zip comprenant toute l'application d'authentification (code php, script bd).
+Le serveur 192.168.239.xx attribué à votre binôme doit être fonctionnel à compter du 19/11/2018 (votre accès à la VM sera supprimé).
+**Vous devrez créer un compte nommé "evaluation" mot de passe "evaluation" avec les privilèges sudoers sur votre serveur pour les besoins de l'évaluation.**
+</note>
+<note>**Consignes de rendu pour BlackOps **
+Une machine 192.168.239.xx a été attribuée à votre binôme du TP1. Accessible dans la case Tomuss **IP_VM_TP_2**.
+Pour le TBA, vous rendrez un **rapport PDF synthétique d'au plus 4 pages** (titres inclus, hors annexes) de pen-test, à déposer dans la case idoine de Tomuss.
+Sa structure comprendra une conclusion à l'attention des décideurs suivie du tableau (exhaustif) des vulnérabilités trouvées.
+Ce tableau constituera l'essentiel du corps du rapport, il est imaginé dans l'esprit de la section 1.6 de [[https://github.com/radicallyopensecurity/templates/blob/master/sample-report/REP_SittingDuck-pentestreport-v10.pdf|ce rapport]].
+Vous devez rédiger ce rapport dans l'idée qu'un décideur n'en lira que le début et que l'annexe est destinée à la DSI. La DSI fera une proposition au décideur de remédiation à partir de votre travail. [[https://github.com/juliocesarfort/public-pentesting-reports|Quelques exemples]] (qui ne sont pas toujours très synthétiques).
-Rendre un document au format pdf sur Tomuss dans la colonne "Depot_blackops" pour au plus tard dimanche 17/12/2017 23h59.
+Le sujet fourni est là pour vous guider dans l’identification des vulnérabilités et des solutions, il pourra typiquement constituer une partie des annexes du rapport.
-Outre la page de garde, la structure attendue du rapport est la suivante :
+Pour décrire une vulnérabilité on attend //au moins// les informations suivantes :
+  * une évaluation du risque (faible, moyen, fort),
+  * une référence OWASP et/ou CVE
+  * une courte description de la vulnérabilité
+  * une courte description de l'impact
+  * une preuve de concept de l'exploit (avec une référence extérieure ou vers l'annexe le cas échéant)
+  * une proposition de remédiation (avec une référence extérieure ou vers l'annexe le cas échéant)
-   * Synthèse **courte** à destination des responsables, ici le supposé directeur de "BlackOps Security"
-   * Un rapport des vulnérabilités, dont la structure pourra suivre celle de la section "Exploitation des vulnérabilités" du sujet, elle précisera les CVE ou les vulnérabilités [[https://www.owasp.org/index.php/Top_10-2017_Top_10|OWASP]] en jeu. Privilégier une présentation synthétique et structurée (tableau, couleurs, indicateurs type EBIOS ou [[https://nvd.nist.gov/vuln-metrics/cvss|CVSS]])
-   * Préconisations de corrections, suivant par exemple la structure de la section B), idem de façon synthétique et structurée.
-Les rapports seront distribués entre les binômes pour organiser leurs relectures croisées et une restitution en groupe le mercredi 17/01/2018.
 </note>
@@ Ligne 39: / Ligne 60: @@
   * Contrôle continu : 2/3
-    * TP HTTPS et authentification : TBD
+    * TP HTTPS et authentification : 24/11
-    * TP Vulnérabilités WEB : TBD
+    * TP Vulnérabilités BlackOps : TBD
-    * Contrôle intermédiaire : TBD
+    * Contrôle intermédiaire : 24/11
   * Contrôle final : 1/3

enseignement/tiw4.txt · Dernière modification: 2021/01/18 11:12 de rthion

Afficher la page

Gestionnaire Multimédia Haut de page

Navigation

Différences