| Les deux révisions précédentes
Révision précédente
Prochaine révision
|
Révision précédente
Prochaine révision
Les deux révisions suivantes
|
enseignement:tiw4 [2018/10/10 17:46]
rthion [Programme] |
enseignement:tiw4 [2019/02/04 12:09]
rthion [Programme] |
| * 09/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursAuthentification-VincentHurtevent.pdf|cours sur authentification]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursHTTPS-VincentHurtevent.pdf|cours sur HTTPS]] | * 09/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursAuthentification-VincentHurtevent.pdf|cours sur authentification]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursHTTPS-VincentHurtevent.pdf|cours sur HTTPS]] |
| * 10/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]] ([[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/tiw4-auth-master.zip|application PhP]], [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/wahoo_BD.sql|script création BD]]) | * 10/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]] ([[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/tiw4-auth-master.zip|application PhP]], [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/wahoo_BD.sql|script création BD]]) |
| | * 07/11 - TD principes de la cryptographie (exercices 15, 23, 24 du chapitre 2 du livret), exemples sur [[http://www.lsv.fr/Software/spore/index.html|SPORE]] |
| | * 14/11 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM4-Vuln.pdf|Vulnérabilités]] et CC1 |
| | * 04/02 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] voir consignes ci-dessous |
| | * 05/02 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] (suite) |
| |
| |
| La plate-forme de TP "HTTPS et authentification" sera évaluée en 2 parties : | La plate-forme de TP "HTTPS et authentification" sera évaluée en 2 parties : |
| |
| - un test sur table le 07/11/2018 comprenant une partie QCM et une partie ouverte comptant pour environ 2/3 de la note du TP; | - un test sur table le 14/11/2018 comprenant une partie QCM et une partie ouverte comptant pour environ 2/3 de la note du TP; |
| - une évaluation de l'appli d'authentification pour environ 1/3 de la note du TP à rendre pour le 07/11/2018. | - une évaluation de l'appli d'authentification pour environ 1/3 de la note du TP à rendre pour le 18/11/2018 23h59. |
| |
| Une cellule tomuss "Depot_ZIP_PHP" a été ouverte pour déposer un .zip comprenant toute l'application d'authentification (code php, script bd). | Une cellule tomuss "Depot_ZIP_PHP" a été ouverte pour déposer un .zip comprenant toute l'application d'authentification (code php, script bd). |
| |
| Le serveur 192.168.239.xx attribué à votre binôme doit être fonctionnel le 07/11/2018. | Le serveur 192.168.239.xx attribué à votre binôme doit être fonctionnel à compter du 19/11/2018 (votre accès à la VM sera supprimé). |
| Vous devrez créer un compte nommé "evaluation" mot de passe "evaluation" avec les privilèges sudoers sur votre serveur pour les besoins de l'évaluation. | **Vous devrez créer un compte nommé "evaluation" mot de passe "evaluation" avec les privilèges sudoers sur votre serveur pour les besoins de l'évaluation.** |
| | |
| | </note> |
| | |
| | |
| | |
| | <note>**Consignes de rendu pour BlackOps ** |
| | |
| | Une machine 192.168.239.xx a été attribuée à votre binôme du TP1. Accessible dans la case Tomuss **IP_VM_TP_2**. |
| | |
| | Pour le TBA, vous rendrez un **rapport PDF synthétique d'au plus 4 pages** (titres inclus, hors annexes) de pen-test, à déposer dans la case idoine de Tomuss. |
| | |
| | Sa structure comprendra une conclusion à l'attention des décideurs suivie du tableau (exhaustif) des vulnérabilités trouvées. |
| | Ce tableau constituera l'essentiel du corps du rapport, il est imaginé dans l'esprit de la section 1.6 de [[https://github.com/radicallyopensecurity/templates/blob/master/sample-report/REP_SittingDuck-pentestreport-v10.pdf|ce rapport]]. |
| | Vous devez rédiger ce rapport dans l'idée qu'un décideur n'en lira que le début et que l'annexe est destinée à la DSI. La DSI fera une proposition au décideur de remédiation à partir de votre travail. [[https://github.com/juliocesarfort/public-pentesting-reports|Quelques exemples]] (qui ne sont pas toujours très synthétiques). |
| | |
| | Le sujet fourni est là pour vous guider dans l’identification des vulnérabilités et des solutions, il pourra typiquement constituer une partie des annexes du rapport. |
| | |
| | Pour décrire une vulnérabilité on attend //au moins// les informations suivantes : |
| | * une évaluation du risque (faible, moyen, fort), |
| | * une référence OWASP et/ou CVE |
| | * une courte description de la vulnérabilité |
| | * une courte description de l'impact |
| | * une preuve de concept de l'exploit (avec une référence extérieure ou vers l'annexe le cas échéant) |
| | * une proposition de remédiation (avec une référence extérieure ou vers l'annexe le cas échéant) |
| |
| </note> | </note> |
| |
| * Contrôle continu : 2/3 | * Contrôle continu : 2/3 |
| * TP HTTPS et authentification : TBD | * TP HTTPS et authentification : 24/11 |
| * TP Vulnérabilités WEB : TBD | * TP Vulnérabilités BlackOps : TBD |
| * Contrôle(s) intermédiaire(s) : TBD | * Contrôle intermédiaire : 24/11 |
| * Contrôle final : 1/3 | * Contrôle final : 1/3 |
| |
