Les deux révisions précédentes
Révision précédente
Prochaine révision
|
Révision précédente
Prochaine révision
Les deux révisions suivantes
|
enseignement:tiw4 [2019/02/04 12:09] rthion [Programme] |
enseignement:tiw4 [2019/02/25 21:23] rthion [Programme] |
* 07/11 - TD principes de la cryptographie (exercices 15, 23, 24 du chapitre 2 du livret), exemples sur [[http://www.lsv.fr/Software/spore/index.html|SPORE]] | * 07/11 - TD principes de la cryptographie (exercices 15, 23, 24 du chapitre 2 du livret), exemples sur [[http://www.lsv.fr/Software/spore/index.html|SPORE]] |
* 14/11 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM4-Vuln.pdf|Vulnérabilités]] et CC1 | * 14/11 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM4-Vuln.pdf|Vulnérabilités]] et CC1 |
| * 05/12 |
| * 12/12 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TIW4-CM5-Autorisations.pdf|Autorisations]] |
| * 09/01 - Autorisations (exercices) |
* 04/02 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] voir consignes ci-dessous | * 04/02 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] voir consignes ci-dessous |
* 05/02 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] (suite) | * 05/02 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] (suite) |
| * 08/02 - [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Synacktiv-authentification.pdf|Authentification en pratique]] [[https://perso.liris.cnrs.fr/romuald.thion/files/Enseignement/TIW4/Synacktiv-tp_authentification_etudiant.zip|Sujet pratique]] |
| |
| |
<note>**Consignes de rendu pour BlackOps ** | <note>**Consignes de rendu pour BlackOps ** |
| |
Une machine 192.168.239.xx a été attribuée à votre binôme du TP1. Accessible dans la case Tomuss **IP_VM_TP_2**. | Une machine 192.168.239.xx a été attribuée à votre binôme du TP1 dans la case Tomuss **IP_VM_TP_2**. Une Kali est disponible à l'IP 192.168.239.30 (root/etudiant) |
| |
Pour le TBA, vous rendrez un **rapport PDF synthétique d'au plus 4 pages** (titres inclus, hors annexes) de pen-test, à déposer dans la case idoine de Tomuss. | Pour le 03/03/19, vous rendrez une **synthèse d'au plus 4 pages** de pen-test (hors annexe) à déposer au format PDF dans la case idoine de Tomuss. |
| Le sujet fourni est là pour vous guider dans l’identification des vulnérabilités et des solutions, les points qui vous sont demandés dans le sujet constituent les annexes du rapport. |
| |
Sa structure comprendra une conclusion à l'attention des décideurs suivie du tableau (exhaustif) des vulnérabilités trouvées. | La partie synthèse comprendra une conclusion à l'attention des décideurs et surtout le tableau (exhaustif) des vulnérabilités trouvées. |
Ce tableau constituera l'essentiel du corps du rapport, il est imaginé dans l'esprit de la section 1.6 de [[https://github.com/radicallyopensecurity/templates/blob/master/sample-report/REP_SittingDuck-pentestreport-v10.pdf|ce rapport]]. | Ce tableau constituera l'essentiel de la synthèse, il est imaginé dans l'esprit de la section 1.6 de [[https://github.com/radicallyopensecurity/templates/blob/master/sample-report/REP_SittingDuck-pentestreport-v10.pdf|ce rapport]]. |
Vous devez rédiger ce rapport dans l'idée qu'un décideur n'en lira que le début et que l'annexe est destinée à la DSI. La DSI fera une proposition au décideur de remédiation à partir de votre travail. [[https://github.com/juliocesarfort/public-pentesting-reports|Quelques exemples]] (qui ne sont pas toujours très synthétiques). | Vous devez rédiger ce rapport dans l'idée qu'un décideur n'en lira que le début et que l'annexe est destinée à la DSI. |
| La DSI fera une proposition au décideur de remédiation à partir de votre travail. |
| |
Le sujet fourni est là pour vous guider dans l’identification des vulnérabilités et des solutions, il pourra typiquement constituer une partie des annexes du rapport. | |
| |
Pour décrire une vulnérabilité on attend //au moins// les informations suivantes : | Pour décrire une vulnérabilité on attend //au moins// les informations suivantes : |
* une évaluation du risque (faible, moyen, fort), | * une évaluation du risque (faible, moyen, fort), |
* une référence OWASP et/ou CVE | * une référence OWASP et/ou CWE |
* une courte description de la vulnérabilité | * une courte description de la vulnérabilité |
* une courte description de l'impact | * une courte description de l'impact |
* une preuve de concept de l'exploit (avec une référence extérieure ou vers l'annexe le cas échéant) | * une preuve de concept de l'exploit (avec une référence vers l'annexe) |
* une proposition de remédiation (avec une référence extérieure ou vers l'annexe le cas échéant) | * une proposition de remédiation (avec une référence vers l'annexe) |
| |
| |