vulnérabilités – Réseau CERTA https://www.reseaucerta.org Des ressources pour enseigner le numérique Wed, 14 Jan 2026 22:36:47 +0000 fr-FR hourly 1 https://wordpress.org/?v=6.9.4 https://www.reseaucerta.org/wp-content/uploads/cours/cropped-favicon-certa-32x32.png vulnérabilités – Réseau CERTA https://www.reseaucerta.org 32 32 SÉCURISATION DES PROTOCOLES RÉSEAUX – Activité 1 : Évaluer ma sécurité des protocoles POP et SSH https://www.reseaucerta.org/securisation-des-protocoles-reseaux-activite-1/ https://www.reseaucerta.org/securisation-des-protocoles-reseaux-activite-1/#respond Thu, 04 Dec 2025 09:15:07 +0000 https://www.reseaucerta.org/?p=9686

Sécurisation des protocoles réseaux - Évaluation de la sécurité des protocoles POP et SSH

Public concerné 🎓

BTS SIO

Matière 📚

Bloc 3 SISR –  Cybersécurité des services informatiques

Présentation 📋

Ce labo a pour objectifs de maîtriser les techniques de base de reconnaissance réseau, tout en comprenant les vulnérabilités liées aux services mal sécurisés. Les participants apprendront à appréhender les risques associés aux mots de passe faibles et mettront en pratique des outils de sécurité offensive. Enfin, il soulignera l’importance des bonnes pratiques de sécurité pour renforcer la protection des systèmes informatiques.

Cette première activité aborde les enjeux associés aux protocoles POP (pour la messagerie) et SSH (pour l’accès distant sécurisé).

Pré-requis ⚡

Commandes de base d’administration d’un système Linux.

Savoirs 🎓

Principes de la sécurité : disponibilité, intégrité, confidentialité, preuve.

Sécurité des communications numériques : rôle des protocoles, segmentation, administration, restriction.

Compétences 💪

  • Sécuriser les équipements et les usages des utilisateurs ;
    • Identifier les menaces et mettre en œuvre les défenses appropriées ;
    • Gérer les accès et les privilèges appropriés.
  • Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.
    • Caractériser les risques liés à l’utilisation malveillante d’un service informatique.
  • Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.

Outils 🛠

Le logiciel Proxmox (version 8 ou 9), une machine Kali Linux et une machine Debian 12/13 disposant d’un accès à internet.

Les scripts sont disponibles sur la forge du réseau Certa :

https://forge.apps.education.fr/reseau-certa/bts-sio/activites-ctf

Téléchargements 📥

📎 Activite1-CTF1.pdf

📎 Activites_CTF1.zip

✅ Corrigé Activites_CTF1_cor.zip

Mots-clés ﹟

PROXMOX, containers LXC, vulnérabilités, POP, SSH

Durée ⏱

2 heures

Date de publication 📅

Novembre 2025

Auteur.e(s) ✍

Damien SCONTRINO, avec la relecture, les tests et les suggestions de Patrice DIGNAN et Apollonie RAFFALLI

]]> https://www.reseaucerta.org/securisation-des-protocoles-reseaux-activite-1/feed/ 0 OWASP – Activité 9: Sécurisation des applications Web Vulnérabilités https://www.reseaucerta.org/owasp-activite-9-securisation-des-applications-web-vulnerabilites/ https://www.reseaucerta.org/owasp-activite-9-securisation-des-applications-web-vulnerabilites/#respond Thu, 19 Jun 2025 15:37:00 +0000 https://www.reseaucerta.org/?p=9566

Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications Web

Public concerné

BTS SIO
 

Matière

Bloc 3 – Cybersécurité des services informatiques – SLAM

Présentation

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Portswigger.net du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.

Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP.

Dans un premier temps, l’étudiant doit comprendre le mécanisme des attaques.

Dans un deuxième temps, l’objectif est de réaliser des défis à travers des manipulations pratiques.

Cette neuvième activité concerne les problématiques liées à l’identification et l’authentification sur u:ne application web. Cette vulnérabilité est classée n°7 dans la classement OWASP 2021.

Pré-requis

Administration d’un système Linux.

Savoirs 🎓

Sécurité des applications web : risques, menaces et protocoles.

Compétences

  • Protéger les données à caractère personnel ;
    • Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.
  • Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.
    • Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;

Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.

Outils 🛠

Une machine Kali Linux disposant d’un accès à internet et du logiciel BurpSuite (disponible sous Windows).

Sites officiels : https://www.owasp.org et https://portswigger.net/burp/communitydownload

Téléchargements 📥

📎 owasp_activite_9_authentification

✅ owasp_activite_9_authentificationcorrection

Mots-clés ﹟

OWASP, vulnérabilités, identification, authentification, BurpSuite, sniper

Date de publication

19 Juin 2025

Auteur.e(s)

Patrice Dignan, avec la relecture, les tests et les suggestions de Hervé Le Guern.

]]> https://www.reseaucerta.org/owasp-activite-9-securisation-des-applications-web-vulnerabilites/feed/ 0 OWASP – Activité 8 : Sécurisation des applications Web https://www.reseaucerta.org/owasp-activit-8-scurisation-des-applications-web/ https://www.reseaucerta.org/owasp-activit-8-scurisation-des-applications-web/#respond Wed, 13 Nov 2024 19:42:00 +0000 https://www.reseaucerta.org/?p=2001

Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications Web

Public concerné 🎓

BTS Services Informatiques aux Organisations

Matière 📚

Bloc 3 SLAM – Cybersécurité des services informatiques

Présentation 📋

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.

Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP.

Dans un premier temps, l’étudiant doit comprendre le mécanisme des attaques.

Dans un deuxième temps, l’objectif est de réaliser des défis à travers des manipulations pratiques.

 

Cette huitième activité concerne les problématiques liées aux falsifications de requêtes côté serveur(SSRF – Server Side Request Forgery). Cette vulnérabilité a fait son entrée en 10ème position dans le dernier classement OWASP.

Prérequis ⚡

Commandes de base d’administration d’un système Linux.

Savoirs 🎓

Sécurité des applications web : risques, menaces et protocoles.

Compétences 💪

  • Protéger les données à caractère personnel ;
    • Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.
  • Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.
    • Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;

Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.

Outils 🛠

Téléchargements 📥

📎 owasp_activite_8_ssrf.odt
Fichier libre – Télécharger (1.36 MB)

✅ owasp_activite_8_correction_ssrf.doc
Corrigé disponible – owasp_activite_8_correction_ssrf

Mots-clés ﹟

OWASP, vulnérabilités, SSRF, BurpSuite, sniper

Version 📝

V1.0

Date de publication 📅

13/11/2024

Auteur.e(s) ✍

Patrice Dignan, avec la relecture, les tests et les suggestions de Hervé Le Guern
]]> https://www.reseaucerta.org/owasp-activit-8-scurisation-des-applications-web/feed/ 0 OWASP – Activité 7: Défauts de configurations de chiffrement https://www.reseaucerta.org/owasp-activit-7-dfauts-de-configurations-de-chiffrement/ https://www.reseaucerta.org/owasp-activit-7-dfauts-de-configurations-de-chiffrement/#respond Tue, 07 Nov 2023 19:42:00 +0000 https://www.reseaucerta.org/?p=2005

Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications Web

Public concerné 🎓

BTS Services Informatiques aux Organisations

Matière 📚

Bloc 3 SLAM – Cybersécurité des services informatiques

Présentation 📋

Ce Côté labo a pour objectif d'exploiter la plateforme d'apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web. Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l'OWASP.
Dans un premier temps, l'étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.

Cette septième activité concerne les problématiques liées à l’absence ou à la mauvaise configuration des protocoles de chiffrement. Cette vulnérabilité est en deuxième position dans le dernier classement du top 10 du groupe OWASP.

Prérequis ⚡

Commandes de base d’administration d’un système Linux.

Savoirs 🎓

  • Chiffrement, authentification et preuve ; principes et techniques ;
  • Sécurité des applications web : risques, menaces et protocoles.

Compétences 💪

  • Protéger les données à caractère personnel ;
    • Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.
  • Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.
    • Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;
  • Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.

Outils 🛠

Une machine virtuelle ou physique avec Linux comme système d’exploitation ainsi qu’un accès à internet. Sites officiels : https://www.owasp.org et https://portswigger.net/burp/communitydownload

Téléchargements 📥

📎 owasp_activite_7_defauts_de_configurations_de_chiffrement.pdf
Fichier libre – Télécharger (411.38 KB)

📎 owasp_activite_7_defauts_de_configurations_de_chiffrement.zip
Fichier libre – Télécharger (787.36 KB)

✅ owasp_activite_7_defauts_de_configurations_de_chiffrement_corrige.zip
Corrigé disponible – Télécharger

Mots-clés ﹟

OWASP, vulnérabilités, SSL, TLS

Version 📝

V1.0

Date de publication 📅

07/11/2023

Auteur.e(s) ✍

Patrice Dignan, avec la relecture, les tests et les suggestions de Hervé Le Guern
]]> https://www.reseaucerta.org/owasp-activit-7-dfauts-de-configurations-de-chiffrement/feed/ 0 OWASP – Activité 6 : Inclusion de fichiers locaux et distants https://www.reseaucerta.org/owasp-activit-6-inclusion-de-fichiers-locaux-et-distants/ https://www.reseaucerta.org/owasp-activit-6-inclusion-de-fichiers-locaux-et-distants/#respond Tue, 07 Nov 2023 19:42:00 +0000 https://www.reseaucerta.org/?p=2006

Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications Web

Public concerné 🎓

BTS Services Informatiques aux Organisations

Matière 📚

Bloc 3 SLAM – Cybersécurité des services informatiques

Présentation 📋

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.
Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP.
Dans un premier temps, l’étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.
Cette sixième activité concerne l’inclusion de fichiers locaux et distants. Cette faille arrive en 5ième position dans le classement OWASP 2017.

Prérequis ⚡

Commandes de base d’administration d’un système Linux, langages PHP et JavaScript. Dans l’activité 1, avoir lu la présentation (owasp-presentation-v1.1) et réalisé les installations décrites dans le fichier owasp-mise_en_place-v1.1.

Savoirs 🎓

Sécurité des applications web : risques, menaces et protocoles.

Compétences 💪

  • Protéger les données à caractère personnel ;
    • Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.
  • Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.
    • Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;
  • Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.

Outils 🛠

Deux machines éventuellement virtualisées sont nécessaires avec Linux comme système d’exploitation.
Sites officiels : https://www.owasp.org et https://portswigger.net/burp/communitydownload

Téléchargements 📥

📎 owasp-activite_6_inclusion_de_fichiers_locaux_et_distants.pdf
Fichier libre – Télécharger (529.17 KB)

📎 owasp-activite_6_inclusion_de_fichiers_locaux_et_distants.zip
Fichier libre – Télécharger (897.41 KB)

✅ owasp-activite_6_correction.zip
Corrigé disponible – Télécharger

Mots-clés ﹟

OWASP, Mutillidae 2.8.75, BurpSuite v2021.8.2, vulnérabilités, LFI, RFI.

Version 📝

V1.0

Date de publication 📅

07/11/2023

Auteur.e(s) ✍

Patrice DIGNAN, avec la relecture, les tests et les suggestions de Hervé Le Guern
]]> https://www.reseaucerta.org/owasp-activit-6-inclusion-de-fichiers-locaux-et-distants/feed/ 0 OWASP – Activité 5 : Sécurisation des applications web https://www.reseaucerta.org/owasp-activit-5-scurisation-des-applications-web/ https://www.reseaucerta.org/owasp-activit-5-scurisation-des-applications-web/#respond Mon, 10 Jan 2022 12:51:33 +0000 https://www.reseaucerta.org/?p=2012

Exploitation d’une plateforme d’apprentissage des vulnérabilités des applications Web - Activité 5 : Attaques de type XXE (XML External Entities)

Public concerné 🎓

BTS Services Informatiques aux Organisations

Matière 📚

Bloc 3 SLAM – Cybersécurité des services informatiques

Présentation 📋

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.
Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP.
Dans un premier temps, l’étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.
Cette cinquième activité traite des vulnérabilités de type XXE (XML External Entities). Cette faille arrive en 5ᵉ position dans le classement OWASP 2021.

Prérequis ⚡

Commandes de base d’administration d’un système Linux, langages PHP et JavaScript. Dans l’activité 1, avoir lu la présentation (owasp-presentation-v1.1) et réalisé les installations décrites dans le fichier owasp-mise_en_place-v1.1. Langage XML.

Savoirs 🎓

Sécurité des applications web : risques, menaces et protocoles.

Compétences 💪

    • Protéger les données à caractère personnel ;
        ◦ Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.
    • Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.
        ◦ Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;
        ◦ Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.
    • Assurer la cybersécurité d’une solution applicative et de son développement.

Outils 🛠

Deux machines éventuellement virtualisées sont nécessaires avec Linux comme système d’exploitation.

Sites officiels :
https://www.owasp.org et https://portswigger.net/burp/communitydownload

Téléchargements 📥

📎 owasp-activite5-v1.0.odt
Fichier libre – Télécharger (212.04 KB)

📎 owasp-activite5-v1.0.pdf
Fichier libre – Télécharger (239.38 KB)

✅ owasp-activite5-v1.0.zip
Corrigé disponible – Télécharger

Mots-clés ﹟

OWASP, Mutillidae 2.6.60, BurpSuite 1.7.29, vulnérabilités, SQLi, XSS, IDOR, injection d’entité externe XML.

Version 📝

V1.0

Date de publication 📅

10/01/2022

Auteur.e(s) ✍

Patrice DIGNAN, avec la relecture, les tests et les suggestions de Valéry Tschaen et Amal Hecker.
]]> https://www.reseaucerta.org/owasp-activit-5-scurisation-des-applications-web/feed/ 0 OWASP – Activité 4 Brèche sur des informations confidentielles https://www.reseaucerta.org/owasp-activit-4-brche-sur-des-informations-confidentielles/ https://www.reseaucerta.org/owasp-activit-4-brche-sur-des-informations-confidentielles/#respond Sat, 07 Nov 2020 12:01:03 +0000 https://www.reseaucerta.org/?p=2022

Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications Web

Activité 4 : Brèche sur des informations confidentielles

Public concerné 🎓

BTS SIO

Matière 📚

Bloc 3 – Cybersécurité des services informatiques – SLAM

Présentation 📋

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.

Chaque activité couvre une problématique spécifique (SQLiXSSCSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP.

Dans un premier temps, l’étudiant doit réaliser les attaques associées à chaque vulnérabilité.

Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.

Cette quatrième activité traite des vulnérabilités associées aux brèches sur des informations confidentielles. Cette faille arrive en 3ième position dans le classement OWASP 2017.

Pré-requis ⚡

Commandes de base d’administration d’un système Linux, langages PHP et JavaScript. Dans l’activité 1, avoir lu la présentation (owasp-presentation-v1.1) et réalisé les installations décrites dans le fichier owasp-mise_en_place-v1.1.

Savoirs 🎓

  • Chiffrement, authentification et preuve ; principes et techniques ;

  • Sécurité des applications web : risques, menaces et protocoles.

Compétences 💪

  • Protéger les données à caractère personnel ;

    • Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.

  • Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.

    • Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;

    • Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.

Outils 🛠

Deux machines éventuellement virtualisées sont nécessaires avec Linux comme système d’exploitation.

Sites officiels :
https://www.owasp.org et https://portswigger.net/burp/communitydownload

Téléchargements 📥

📎 owasp-activite4-v1.0

📎 owasp-activite4-v1.0

✅ Corrigé : owasp-activite4Correction-v1.0

Mots-clés ﹟

OWASP, Mutillidae 2.6.60, BurpSuite 1.7.29, vulnérabilités, SQLi, XSS, IDOR.

Date de publication 📅

07 Novembre 2020

Auteur.e(s) ✍

Patrice DIGNAN avec la relecture de Valéry TSCHAEN

]]> https://www.reseaucerta.org/owasp-activit-4-brche-sur-des-informations-confidentielles/feed/ 0 OWASP – Activité 3 : Vulnérabilités de type XSS https://www.reseaucerta.org/owasp-activit-3-vulnrabilits-de-type-xss/ https://www.reseaucerta.org/owasp-activit-3-vulnrabilits-de-type-xss/#respond Sat, 07 Nov 2020 11:56:11 +0000 https://www.reseaucerta.org/?p=2023

Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications Web - Activité 3: Vulnérabilités de type XSS (Cross Site Scripting)

Public concerné 🎓

BTS Services Informatiques aux Organisations

Matière 📚

Bloc 3 SLAM – Cybersécurité des services informatiques

Présentation 📋

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.
Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP.
Dans un premier temps, l’étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.

Cette troisième activité traite des vulnérabilités de type XSS (Cross Site Scripting). Cette faille arrive en 7ième position dans le classement OWASP 2017.

Prérequis ⚡

Commandes de base d’administration d’un système Linux, langages PHP et JavaScript. Dans l’activité 1, avoir lu la présentation (owasp-presentation-v1.1) et réalisé les installations décrites dans le fichier owasp-mise_en_place-v1.1.

Savoirs 🎓

  • Chiffrement, authentification et preuve ; principes et techniques ;

  • Sécurité des applications web : risques, menaces et protocoles.

Compétences 💪

  • Protéger les données à caractère personnel ;

    • Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.

  • Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.

    • Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;

    • Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.

Outils 🛠

Deux machines éventuellement virtualisées sont nécessaires avec Linux comme système d’exploitation.

Sites officiels :
https://www.owasp.org et https://portswigger.net/burp/communitydownload

Téléchargements 📥

📎 owasp-activite3-v1.0.pdf
Fichier libre – Télécharger (764.12 KB)

📎 owasp-activite3-v1.0.odt
Fichier libre – Télécharger (942.73 KB)

✅ owasp-activite3Correction-v1.0.zip
Corrigé disponible – Télécharger

Mots-clés ﹟

OWASP, Mutillidae 2.6.60, BurpSuite 1.7.29, vulnérabilités, SQLi, XSS, IDOR, cyber-sécurité.

Version 📝

V1.0

Date de publication 📅

07/11/2020

Auteur.e(s) ✍

Patrice DIGNAN, avec la relecture, les tests et les suggestions de Hervé Le GUERN, Yann BARROT, David ROUMANET, Roger SANCHEZ et Valéry TSCHAEN
]]> https://www.reseaucerta.org/owasp-activit-3-vulnrabilits-de-type-xss/feed/ 0 OWASP – Activité 2 : authentification et gestion des sessions https://www.reseaucerta.org/owasp-activit-2-authentification-et-gestion-des-sessions/ https://www.reseaucerta.org/owasp-activit-2-authentification-et-gestion-des-sessions/#respond Wed, 04 Jul 2018 14:31:10 +0000 https://www.reseaucerta.org/?p=2037

Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications web - Activité 2 : Vulnérabilités liées à l’authentification et à la gestion des sessions

Public concerné 🎓

BTS Services Informatiques aux Organisations

Matière 📚

Bloc 3 – Cybersécurité des services informatiques

Présentation 📋

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae (OWASP) afin de se familiariser avec les principales vulnérabilités des applications web. 

Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP. 
Dans un premier temps, l’étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.

Cette deuxième activité traite des problématiques d’authentification et de gestion des sessions.

Prérequis ⚡

Commandes de base d’administration d’un système Linux, langages PHP et JavaScript. Avoir lu la présentation et réalisé les installations nécessaires à l’activité 1.

Savoirs 🎓

Activités supports de l’acquisition des compétences

D4.1 – Maintenance d'une solution applicative

  • A4.2.1 Analyse et correction d'un dysfonctionnement, d'un problème de qualité de service ou de sécurité.

Savoir-faire

  • Programmer un composant logiciel.
  • Adapter un composant logiciel.
  • Valider et documenter un composant logiciel.

Savoirs associés

  • Techniques de sécurisation.

Compétences 💪

Outils 🛠

Deux machines éventuellement virtualisées sont nécessaires avec Linux comme système d’exploitation.

Site officiel : https://www.owasp.org

Téléchargements 📥

📎 owasp-activite2-v1.0.pdf
Fichier libre – Télécharger (830.18 KB)

📎 owasp-activite2-v1.0.odt
Fichier libre – Télécharger (911.35 KB)

✅ owasp-activite2Corr-v1.0.zip
Corrigé disponible – Télécharger

Mots-clés ﹟

OWASP, Mutillidae, BurpSuite, vulnérabilités, SQLi, XSS, IDOR, cyber-sécurité.

Version 📝

V1.0

Date de publication 📅

04/07/2018

Auteur.e(s) ✍

Patrice DIGNAN, avec la relecture, les tests et les suggestions de Hervé Le Guern et de Yann BARROT.
]]> https://www.reseaucerta.org/owasp-activit-2-authentification-et-gestion-des-sessions/feed/ 0 OWASP – Activité 1 : Les injections SQL https://www.reseaucerta.org/owasp-activit-1-les-injections-sql/ https://www.reseaucerta.org/owasp-activit-1-les-injections-sql/#respond Tue, 19 Dec 2017 14:51:24 +0000 https://www.reseaucerta.org/?p=2040

Exploitation d'une plateforme d’apprentissage des vulnérabilités des applications web - Activité 1 : Les injections SQL

Public concerné 🎓

BTS Services Informatiques aux Organisations

Matière 📚

Bloc 3 – Cybersécurité des services informatiques

Présentation 📋

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae (OWASP) afin de se familiariser avec les principales vulnérabilités des applications web

Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP. 
Dans un premier temps, l’étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.

Cette première livraison comporte :

  • un document de présentation,
  • un document permettant de mettre en place l’environnement de test,
  • une première activité sur les injections, SQL notamment, et sa correction en accès restreint.

Prérequis ⚡

Commandes de base d’administration d’un système Linux, langages PHP et JavaScript.

Savoirs 🎓

Activités supports de l’acquisition des compétences

D4.1 – Maintenance d'une solution applicative

  • A4.2.1 Analyse et correction d'un dysfonctionnement, d'un problème de qualité de service ou de sécurité.

Savoir-faire

  • Programmer un composant logiciel.
  • Adapter un composant logiciel.
  • Valider et documenter un composant logiciel.

Savoirs associés

  • Techniques de sécurisation.

Compétences 💪

Outils 🛠

Deux machines, éventuellement virtualisées, sont nécessaires avec Linux comme système d’exploitation.

Site officiel : https://www.owasp.org

Téléchargements 📥

📎 owasp-presentation-v1.1.pdf
Fichier libre – owasp-presentation-v1.1

📎 owasp-activite1-v1.1.zip
Fichier libre – owasp-activite1-v1.1

✅ owasp-activite1Corr-v1.1.zip
Corrigé disponible – owasp-activite1Corr-v1.1

Mots-clés ﹟

OWASP, Mutillidae, BurpSuite, vulnérabilités, SQLi, XSS, IDOR, cyber-sécurité.

Version 📝

V1.1

Date de publication 📅

19/12/2017

Auteur.e(s) ✍

Patrice DIGNAN, avec la relecture, les tests et les suggestions de Pierre François ROMEUF et de Yann BARROT.
]]> https://www.reseaucerta.org/owasp-activit-1-les-injections-sql/feed/ 0