Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
Prochaine révision Les deux révisions suivantes
enseignement:tiw4 [2018/10/10 17:46]
rthion [Programme]
enseignement:tiw4 [2019/02/04 13:17]
rthion [Programme]
Ligne 9: Ligne 9:
   * 09/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursAuthentification-VincentHurtevent.pdf|cours sur authentification]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursHTTPS-VincentHurtevent.pdf|cours sur HTTPS]]   * 09/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursAuthentification-VincentHurtevent.pdf|cours sur authentification]],[[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/CoursHTTPS-VincentHurtevent.pdf|cours sur HTTPS]]
    * 10/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]] ([[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/tiw4-auth-master.zip|application PhP]], [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/wahoo_BD.sql|script création BD]])     * 10/10 - TP HTTPS et authentification [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/TIW4-2017-2018-TP-Auth.txt|sujet]] ([[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/tiw4-auth-master.zip|application PhP]], [[http://liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_SecAuth/wahoo_BD.sql|script création BD]]) 
 +   * 07/11 - TD principes de la cryptographie  (exercices 15, 23, 24 du chapitre 2 du livret), exemples sur [[http://www.lsv.fr/Software/spore/index.html|SPORE]]
 +   * 14/11 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM4-Vuln.pdf|Vulnérabilités]] et CC1
 +   * 04/02 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] voir consignes ci-dessous
 +   * 05/02 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] (suite)
  
  
Ligne 18: Ligne 22:
 La plate-forme de TP "HTTPS et authentification" sera évaluée en 2 parties : La plate-forme de TP "HTTPS et authentification" sera évaluée en 2 parties :
  
-  - un test sur table le 07/11/2018 comprenant une partie QCM et une partie ouverte comptant pour environ 2/3 de la note du TP; +  - un test sur table le 14/11/2018 comprenant une partie QCM et une partie ouverte comptant pour environ 2/3 de la note du TP; 
-  - une évaluation de l'appli d'authentification pour environ 1/3 de la note du TP à rendre pour le 07/11/2018.+  - une évaluation de l'appli d'authentification pour environ 1/3 de la note du TP à rendre pour le 18/11/2018 23h59.
  
 Une cellule tomuss "Depot_ZIP_PHP" a été ouverte pour déposer un .zip comprenant toute l'application d'authentification (code php, script bd). Une cellule tomuss "Depot_ZIP_PHP" a été ouverte pour déposer un .zip comprenant toute l'application d'authentification (code php, script bd).
  
-Le serveur 192.168.239.xx attribué à votre binôme doit être fonctionnel le 07/11/2018. +Le serveur 192.168.239.xx attribué à votre binôme doit être fonctionnel à compter du 19/11/2018 (votre accès à la VM sera supprimé)
-Vous devrez créer un compte nommé "evaluation" mot de passe "evaluation" avec les privilèges sudoers sur votre serveur pour les besoins de l'évaluation.+**Vous devrez créer un compte nommé "evaluation" mot de passe "evaluation" avec les privilèges sudoers sur votre serveur pour les besoins de l'évaluation.** 
 + 
 +</note> 
 + 
 + 
 + 
 +<note>**Consignes de rendu pour BlackOps ** 
 + 
 +Une machine 192.168.239.xx a été attribuée à votre binôme du TP1 dans la case Tomuss **IP_VM_TP_2**. 
 + 
 +Pour le TBA, vous rendrez un **rapport synthétique d'au plus 4 pages** de pen-test. 
 +Le sujet fourni est là pour vous guider dans l’identification des vulnérabilités et des solutions, les points qui vous sont demandés dans le sujet constituent l'annexe du rapport. Le rapport synthétique avec son annexe est à déposer au format PDF dans la case idoine de Tomuss. 
 + 
 +La partie synthèse (hors annexe) comprendra une conclusion à l'attention des décideurs et surtout le tableau (exhaustif) des vulnérabilités trouvées. 
 +Ce tableau constituera l'essentiel du corps du rapport, il est imaginé dans l'esprit de la section 1.6 de [[https://github.com/radicallyopensecurity/templates/blob/master/sample-report/REP_SittingDuck-pentestreport-v10.pdf|ce rapport]]. 
 +Vous devez rédiger ce rapport dans l'idée qu'un décideur n'en lira que le début et que l'annexe est destinée à la DSI. La DSI fera une proposition au décideur de remédiation à partir de votre travail. 
 + 
 + 
 +Pour décrire une vulnérabilité on attend //au moins// les informations suivantes : 
 +  * une évaluation du risque (faible, moyen, fort), 
 +  * une référence OWASP et/ou CWE 
 +  * une courte description de la vulnérabilité 
 +  * une courte description de l'impact 
 +  * une preuve de concept de l'exploit (avec une référence vers l'annexe) 
 +  * une proposition de remédiation (avec une référence vers l'annexe) 
  
 </note> </note>
Ligne 31: Ligne 60:
  
   * Contrôle continu : 2/3   * Contrôle continu : 2/3
-    * TP HTTPS et authentification : TBD +    * TP HTTPS et authentification : 24/11 
-    * TP Vulnérabilités WEB : TBD +    * TP Vulnérabilités BlackOps : TBD 
-    * Contrôle(s) intermédiaire(s) TBD+    * Contrôle intermédiaire : 24/11
   * Contrôle final : 1/3   * Contrôle final : 1/3
  
enseignement/tiw4.txt · Dernière modification: 2021/01/18 11:12 de rthion
CC Attribution-Noncommercial-Share Alike 3.0 Unported
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0