OWASP - Activité 3 : Vulnérabilités de type XSS

Intitulé long Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications Web - Activité 3: Vulnérabilités de type XSS (Cross Site Scripting)
Public Concerné BTS SIO
Présentation

Ce Côté labo a pour objectif d'exploiter la plateforme d'apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.
Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l'OWASP.
Dans un premier temps, l'étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.

Cette troisième activité traite des vulnérabilités de type XSS (Cross Site Scripting). Cette faille arrive en 7ième position dans le classement OWASP 2017.

Pré-Requis Commandes de base d’administration d’un système Linux, langages PHP et JavaScript. Dans l’activité 1, avoir lu la présentation (owasp-presentation-v1.1) et réalisé les installations décrites dans le fichier owasp-mise_en_place-v1.1.
Compétences
  • Protéger les données à caractère personnel ;

    • Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.

  • Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.

    • Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;

    • Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.

Savoir
  • Chiffrement, authentification et preuve ; principes et techniques ;

  • Sécurité des applications web : risques, menaces et protocoles.

Outils

Deux machines éventuellement virtualisées sont nécessaires avec Linux comme système d’exploitation.

Sites officiels :
https://www.owasp.org et https://portswigger.net/burp/communitydownload

Mots Clés OWASP, Mutillidae 2.6.60, BurpSuite 1.7.29, vulnérabilités, SQLi, XSS, IDOR, cyber-sécurité.
Auteurs Patrice DIGNAN, avec la relecture, les tests et les suggestions de Hervé Le GUERN, Yann BARROT, David ROUMANET, Roger SANCHEZ et Valéry TSCHAEN
Version V1.0
Date de Publication 07 Novembre 2020
Date de Modification 07 Novembre 2020
Téléchargement 1 PDF icon owasp-activite3-v1.0.pdf
Téléchargement 2 Fichier owasp-activite3-v1.0.odt