Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
enseignement:tiw4 [2018/11/14 13:47]
rthion [Programme]
enseignement:tiw4 [2019/02/25 21:23] (Version actuelle)
rthion [Programme]
Ligne 11: Ligne 11:
    * 07/11 - TD principes de la cryptographie ​ (exercices 15, 23, 24 du chapitre 2 du livret), exemples sur [[http://​www.lsv.fr/​Software/​spore/​index.html|SPORE]]    * 07/11 - TD principes de la cryptographie ​ (exercices 15, 23, 24 du chapitre 2 du livret), exemples sur [[http://​www.lsv.fr/​Software/​spore/​index.html|SPORE]]
    * 14/11 - [[https://​perso.liris.cnrs.fr/​romuald.thion/​files/​Enseignement/​TIW4/​TIW4-CM4-Vuln.pdf|Vulnérabilités]] et CC1    * 14/11 - [[https://​perso.liris.cnrs.fr/​romuald.thion/​files/​Enseignement/​TIW4/​TIW4-CM4-Vuln.pdf|Vulnérabilités]] et CC1
 +   * 05/12
 +   * 12/12 - [[https://​perso.liris.cnrs.fr/​romuald.thion/​files/​Enseignement/​TIW4/​TIW4-CM5-Autorisations.pdf|Autorisations]]
 +   * 09/01 - Autorisations (exercices)
 +   * 04/02 - [[https://​perso.liris.cnrs.fr/​romuald.thion/​files/​Enseignement/​TIW4/​TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] voir consignes ci-dessous
 +   * 05/02 - [[https://​perso.liris.cnrs.fr/​romuald.thion/​files/​Enseignement/​TIW4/​TP_Univ-Lyon1-Blackops-Students.pdf|TP2 - BlackOps]] (suite)
 +   * 08/02 - [[https://​perso.liris.cnrs.fr/​romuald.thion/​files/​Enseignement/​TIW4/​Synacktiv-authentification.pdf|Authentification en pratique]] [[https://​perso.liris.cnrs.fr/​romuald.thion/​files/​Enseignement/​TIW4/​Synacktiv-tp_authentification_etudiant.zip|Sujet pratique]]
 +
  
 <​note>​Le [[http://​liris.cnrs.fr/​romuald.thion/​files/​Enseignement/​TIW4/​TIW4-TD-Book.pdf|livret des exercices]]</​note>​ <​note>​Le [[http://​liris.cnrs.fr/​romuald.thion/​files/​Enseignement/​TIW4/​TIW4-TD-Book.pdf|livret des exercices]]</​note>​
Ligne 26: Ligne 33:
 Le serveur 192.168.239.xx attribué à votre binôme doit être fonctionnel à compter du 19/11/2018 (votre accès à la VM sera supprimé). Le serveur 192.168.239.xx attribué à votre binôme doit être fonctionnel à compter du 19/11/2018 (votre accès à la VM sera supprimé).
 **Vous devrez créer un compte nommé "​evaluation"​ mot de passe "​evaluation"​ avec les privilèges sudoers sur votre serveur pour les besoins de l'​évaluation.** **Vous devrez créer un compte nommé "​evaluation"​ mot de passe "​evaluation"​ avec les privilèges sudoers sur votre serveur pour les besoins de l'​évaluation.**
 +
 +</​note>​
 +
 +
 +
 +<​note>​**Consignes de rendu pour BlackOps **
 +
 +Une machine 192.168.239.xx a été attribuée à votre binôme du TP1 dans la case Tomuss **IP_VM_TP_2**. Une Kali est disponible à l'IP 192.168.239.30 (root/​etudiant)
 +
 +Pour le 03/03/19, vous rendrez une **synthèse d'au plus 4 pages** de pen-test (hors annexe) à déposer au format PDF dans la case idoine de Tomuss.
 +Le sujet fourni est là pour vous guider dans l’identification des vulnérabilités et des solutions, les points qui vous sont demandés dans le sujet constituent les annexes du rapport.
 +
 +La partie synthèse comprendra une conclusion à l'​attention des décideurs et surtout le tableau (exhaustif) des vulnérabilités trouvées.
 +Ce tableau constituera l'​essentiel de la synthèse, il est imaginé dans l'​esprit de la section 1.6 de [[https://​github.com/​radicallyopensecurity/​templates/​blob/​master/​sample-report/​REP_SittingDuck-pentestreport-v10.pdf|ce rapport]].
 +Vous devez rédiger ce rapport dans l'​idée qu'un décideur n'en lira que le début et que l'​annexe est destinée à la DSI.
 +La DSI fera une proposition au décideur de remédiation à partir de votre travail.
 +
 +
 +Pour décrire une vulnérabilité on attend //au moins// les informations suivantes :
 +  * une évaluation du risque (faible, moyen, fort),
 +  * une référence OWASP et/ou CWE
 +  * une courte description de la vulnérabilité
 +  * une courte description de l'​impact
 +  * une preuve de concept de l'​exploit (avec une référence vers l'​annexe)
 +  * une proposition de remédiation (avec une référence vers l'​annexe)
 +
  
 </​note>​ </​note>​
Ligne 32: Ligne 65:
  
   * Contrôle continu : 2/3   * Contrôle continu : 2/3
-    * TP HTTPS et authentification : TBD +    * TP HTTPS et authentification : 24/11 
-    * TP Vulnérabilités ​WEB : TBD +    * TP Vulnérabilités ​BlackOps ​: TBD 
-    * Contrôle(s) intermédiaire(s) TBD+    * Contrôle intermédiaire : 24/11
   * Contrôle final : 1/3   * Contrôle final : 1/3
  
enseignement/tiw4.1542199625.txt.gz · Dernière modification: 2018/11/14 13:47 par rthion
CC Attribution-Noncommercial-Share Alike 3.0 Unported
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0