Mutillidae 2.6.60 – Réseau CERTA https://www.reseaucerta.org Des ressources pour enseigner le numérique Wed, 10 Dec 2025 06:41:44 +0000 fr-FR hourly 1 https://wordpress.org/?v=6.9.4 https://www.reseaucerta.org/wp-content/uploads/cours/cropped-favicon-certa-32x32.png Mutillidae 2.6.60 – Réseau CERTA https://www.reseaucerta.org 32 32 OWASP – Activité 5 : Sécurisation des applications web https://www.reseaucerta.org/owasp-activit-5-scurisation-des-applications-web/ https://www.reseaucerta.org/owasp-activit-5-scurisation-des-applications-web/#respond Mon, 10 Jan 2022 12:51:33 +0000 https://www.reseaucerta.org/?p=2012

Exploitation d’une plateforme d’apprentissage des vulnérabilités des applications Web - Activité 5 : Attaques de type XXE (XML External Entities)

Public concerné 🎓

BTS Services Informatiques aux Organisations

Matière 📚

Bloc 3 SLAM – Cybersécurité des services informatiques

Présentation 📋

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.
Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP.
Dans un premier temps, l’étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.
Cette cinquième activité traite des vulnérabilités de type XXE (XML External Entities). Cette faille arrive en 5ᵉ position dans le classement OWASP 2021.

Prérequis ⚡

Commandes de base d’administration d’un système Linux, langages PHP et JavaScript. Dans l’activité 1, avoir lu la présentation (owasp-presentation-v1.1) et réalisé les installations décrites dans le fichier owasp-mise_en_place-v1.1. Langage XML.

Savoirs 🎓

Sécurité des applications web : risques, menaces et protocoles.

Compétences 💪

    • Protéger les données à caractère personnel ;
        ◦ Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.
    • Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.
        ◦ Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;
        ◦ Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.
    • Assurer la cybersécurité d’une solution applicative et de son développement.

Outils 🛠

Deux machines éventuellement virtualisées sont nécessaires avec Linux comme système d’exploitation.

Sites officiels :
https://www.owasp.org et https://portswigger.net/burp/communitydownload

Téléchargements 📥

📎 owasp-activite5-v1.0.odt
Fichier libre – Télécharger (212.04 KB)

📎 owasp-activite5-v1.0.pdf
Fichier libre – Télécharger (239.38 KB)

✅ owasp-activite5-v1.0.zip
Corrigé disponible – Télécharger

Mots-clés ﹟

OWASP, Mutillidae 2.6.60, BurpSuite 1.7.29, vulnérabilités, SQLi, XSS, IDOR, injection d’entité externe XML.

Version 📝

V1.0

Date de publication 📅

10/01/2022

Auteur.e(s) ✍

Patrice DIGNAN, avec la relecture, les tests et les suggestions de Valéry Tschaen et Amal Hecker.
]]> https://www.reseaucerta.org/owasp-activit-5-scurisation-des-applications-web/feed/ 0 OWASP – Activité 4 Brèche sur des informations confidentielles https://www.reseaucerta.org/owasp-activit-4-brche-sur-des-informations-confidentielles/ https://www.reseaucerta.org/owasp-activit-4-brche-sur-des-informations-confidentielles/#respond Sat, 07 Nov 2020 12:01:03 +0000 https://www.reseaucerta.org/?p=2022

Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications Web

Activité 4 : Brèche sur des informations confidentielles

Public concerné 🎓

BTS SIO

Matière 📚

Bloc 3 – Cybersécurité des services informatiques – SLAM

Présentation 📋

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.

Chaque activité couvre une problématique spécifique (SQLiXSSCSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP.

Dans un premier temps, l’étudiant doit réaliser les attaques associées à chaque vulnérabilité.

Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.

Cette quatrième activité traite des vulnérabilités associées aux brèches sur des informations confidentielles. Cette faille arrive en 3ième position dans le classement OWASP 2017.

Pré-requis ⚡

Commandes de base d’administration d’un système Linux, langages PHP et JavaScript. Dans l’activité 1, avoir lu la présentation (owasp-presentation-v1.1) et réalisé les installations décrites dans le fichier owasp-mise_en_place-v1.1.

Savoirs 🎓

  • Chiffrement, authentification et preuve ; principes et techniques ;

  • Sécurité des applications web : risques, menaces et protocoles.

Compétences 💪

  • Protéger les données à caractère personnel ;

    • Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.

  • Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.

    • Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;

    • Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.

Outils 🛠

Deux machines éventuellement virtualisées sont nécessaires avec Linux comme système d’exploitation.

Sites officiels :
https://www.owasp.org et https://portswigger.net/burp/communitydownload

Téléchargements 📥

📎 owasp-activite4-v1.0

📎 owasp-activite4-v1.0

✅ Corrigé : owasp-activite4Correction-v1.0

Mots-clés ﹟

OWASP, Mutillidae 2.6.60, BurpSuite 1.7.29, vulnérabilités, SQLi, XSS, IDOR.

Date de publication 📅

07 Novembre 2020

Auteur.e(s) ✍

Patrice DIGNAN avec la relecture de Valéry TSCHAEN

]]> https://www.reseaucerta.org/owasp-activit-4-brche-sur-des-informations-confidentielles/feed/ 0 OWASP – Activité 3 : Vulnérabilités de type XSS https://www.reseaucerta.org/owasp-activit-3-vulnrabilits-de-type-xss/ https://www.reseaucerta.org/owasp-activit-3-vulnrabilits-de-type-xss/#respond Sat, 07 Nov 2020 11:56:11 +0000 https://www.reseaucerta.org/?p=2023

Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications Web - Activité 3: Vulnérabilités de type XSS (Cross Site Scripting)

Public concerné 🎓

BTS Services Informatiques aux Organisations

Matière 📚

Bloc 3 SLAM – Cybersécurité des services informatiques

Présentation 📋

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.
Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP.
Dans un premier temps, l’étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.

Cette troisième activité traite des vulnérabilités de type XSS (Cross Site Scripting). Cette faille arrive en 7ième position dans le classement OWASP 2017.

Prérequis ⚡

Commandes de base d’administration d’un système Linux, langages PHP et JavaScript. Dans l’activité 1, avoir lu la présentation (owasp-presentation-v1.1) et réalisé les installations décrites dans le fichier owasp-mise_en_place-v1.1.

Savoirs 🎓

  • Chiffrement, authentification et preuve ; principes et techniques ;

  • Sécurité des applications web : risques, menaces et protocoles.

Compétences 💪

  • Protéger les données à caractère personnel ;

    • Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.

  • Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.

    • Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;

    • Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.

Outils 🛠

Deux machines éventuellement virtualisées sont nécessaires avec Linux comme système d’exploitation.

Sites officiels :
https://www.owasp.org et https://portswigger.net/burp/communitydownload

Téléchargements 📥

📎 owasp-activite3-v1.0.pdf
Fichier libre – Télécharger (764.12 KB)

📎 owasp-activite3-v1.0.odt
Fichier libre – Télécharger (942.73 KB)

✅ owasp-activite3Correction-v1.0.zip
Corrigé disponible – Télécharger

Mots-clés ﹟

OWASP, Mutillidae 2.6.60, BurpSuite 1.7.29, vulnérabilités, SQLi, XSS, IDOR, cyber-sécurité.

Version 📝

V1.0

Date de publication 📅

07/11/2020

Auteur.e(s) ✍

Patrice DIGNAN, avec la relecture, les tests et les suggestions de Hervé Le GUERN, Yann BARROT, David ROUMANET, Roger SANCHEZ et Valéry TSCHAEN
]]> https://www.reseaucerta.org/owasp-activit-3-vulnrabilits-de-type-xss/feed/ 0