OWASP – Activité 7: Défauts de configurations de chiffrement

Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications Web

Public concerné 🎓

BTS Services Informatiques aux Organisations

Matière 📚

Bloc 3 SLAM – Cybersécurité des services informatiques

Présentation 📋

Ce Côté labo a pour objectif d'exploiter la plateforme d'apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web. Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l'OWASP.
Dans un premier temps, l'étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.

Cette septième activité concerne les problématiques liées à l’absence ou à la mauvaise configuration des protocoles de chiffrement. Cette vulnérabilité est en deuxième position dans le dernier classement du top 10 du groupe OWASP.

Prérequis ⚡

Commandes de base d’administration d’un système Linux.

Savoirs 🎓

  • Chiffrement, authentification et preuve ; principes et techniques ;
  • Sécurité des applications web : risques, menaces et protocoles.

Compétences 💪

  • Protéger les données à caractère personnel ;
    • Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.
  • Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.
    • Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;
  • Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.

Outils 🛠️

Une machine virtuelle ou physique avec Linux comme système d’exploitation ainsi qu’un accès à internet. Sites officiels : https://www.owasp.org et https://portswigger.net/burp/communitydownload

Téléchargements 📥

📎 owasp_activite_7_defauts_de_configurations_de_chiffrement.pdf
Fichier libre – Télécharger (411.38 KB)

📎 owasp_activite_7_defauts_de_configurations_de_chiffrement.zip
Fichier libre – Télécharger (787.36 KB)

✅ owasp_activite_7_defauts_de_configurations_de_chiffrement_corrige.zip
Corrigé disponible – Télécharger

Mots-clés ﹟

OWASP, vulnérabilités, SSL, TLS

Version 📝

V1.0

Date de publication 📅

07/11/2023

Auteur.e(s) ✍️

Patrice Dignan, avec la relecture, les tests et les suggestions de Hervé Le Guern
Étiquettes: , , ,

Laisser un commentaire