## Recréer l'environnement de cours dans VirtualBox
## 💻 Recréer l'environnement de cours dans VirtualBox
* testé avec [VirtualBox 7.0](https://www.virtualbox.org/wiki/Downloads) sous [Ubuntu jammy](http://releases.ubuntu.com/jammy/)
...
...
@@ -377,51 +376,58 @@ Ce bug est dû à la numérotation fantaisiste d'Ubuntu des interfaces réseau .
172.16.76.1 us.er
```
## Evaluation
## 🎓 Evaluation
### Examen écrit en fin de session (coeff 0.5)
### 📝 Examen écrit en fin de session (10 points)
* Durée: 1h00
* Support: interdit
### Une présentation d'une des 7 failles suivantes par trinôme (coeff 0.5)
* [mardi 27/09/2022] Authentification inefficiente ou ressource mal protégée
* un objet qui devrait être protégée est accessible sans authentification
* on peut obtenir une session
* [mardi 04/10/2022] Command execution
* il s'agit d'injecter des commandes systèmes (on empiète pas sur le SQLi)
* [mardi 11/10/2022] Upload
* comment exécuter du code arbitraire à partir d'un formulaire d'upload de fichier
* [mardi 18/10/2022] LFI / RFI
* injection de paramètre http permettant d'inclure un fichier localement / distant
* [mardi 25/10/2022] XSS
* faire exécuter du code javascript arbitraire stocké (stored) ou passé en paramètres dan la requête (reflected)
* [lundi 08/11/2022] CSRF
* exécution d'un commande avec privilège à l'insu de l'utilisateur
* [lundi 15/11/2022] SQLi
* injection de commandes SQL (les blind sont à traiter)
* Vous pouvez vous organiser avec ce [fichier Excel](https://teams.microsoft.com/_#/xlsx/viewer/teams/https:~2F~2Fucafr.sharepoint.com~2Fsites~2Fwebsec~2FDocuments%20partages~2FGeneral~2Fexpos%C3%A9s%202021.xlsx?threadId=19:2674d1ec7904404688ced0721a4a2aad@thread.tacv2&baseUrl=https:~2F~2Fucafr.sharepoint.com~2Fsites~2Fwebsec&fileId=c81c8db2-a670-4756-840f-c65b437cd284&ctx=files&rootContext=items_view&viewerAction=view)
* Chaque présentation durera 15 minutes et devra présenter
* la vulnérabilité
* l'exploitation de la vulnérabilité
* une vulnérabilité IRL (https://www.cvedetails.com/) (+2)
* une vulnérabilité d'un site de challenges de type [root-me](https://www.root-me.org/) (+1)
* une vulnérabilité prête à l'emploi trouvé sur une ressource spécialisée type [vulnhub](https://www.vulnhub.com/) (+1)
* une implémentation maison (tous les langages sont autorisés tant que le code est intelligible)
* un ensemble de solutions permettant de se protéger
* une classification argumentée des [catégories de l'OWASP TOP 10 2021](https://owasp.org/Top10/fr/) concernées par la vulnérabilité
* Vous éviterez au maximum de vous aider du support de cours et des exemples qui s'y trouvent. Si je raconte la même chose que les étudiants qui présentent c'est pas marrant ...
### 📢 Présentation de groupe au début de chaque cours (8 points)
* Chaque présentation durera 15 minutes et devra présenter l'une des catgorie de vulnérabilité du [OWASP Top 10:2021](https://owasp.org/Top10/fr/) c'est à dire
* présentation des risques
* proposition et démonstration d'un scénrio d'attaque
* DVWA est interdit car le cours le traite déjà
* proposition de mesure à prendre
***Après** la présentation vous m'enverrez par mail
* le support de présentation (ppt, url, ...)
* l'url de l'exploit et / ou le code nécessaire à l'exploitation (zip / ou repo git)
*[mardi 10/10/2023] [A04:2021-Conception non sécurisée](https://owasp.org/Top10/fr/A04_2021-Insecure_Design/)
*[mardi 17/10/2023] [A05:2021-Mauvaise configuration de sécurité](https://owasp.org/Top10/fr/A05_2021-Security_Misconfiguration/)
*[mardi 24/10/2023] [A06:2021-Composants vulnérables et obsolètes](https://owasp.org/Top10/fr/A06_2021-Vulnerable_and_Outdated_Components/)
*[mardi 07/11/2023] [A07:2021-Identification et authentification de mauvaise qualité](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
*[mardi 14/11/2023] [A08:2021-Manque d'intégrité des données et du logiciel](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
*[mardi 21/11/2023] [A09:2021-Carence des systèmes de contrôle et de journalisation](https://owasp.org/Top10/fr/A09_2021-Security_Logging_and_Monitoring_Failures/)
* si un groupe souhaite travailler sur [A10:2021-Falsification de requête côté serveur](https://owasp.org/Top10/fr/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/) il est possible d'échanger avec une autre vulnérabilité
***Vous vous organiserez avec le fichier Excel [exposés FISE 2023-2024](https://ucafr.sharepoint.com/:x:/s/websec/EU1AedCh_zVJp8vaAocOOIcBYyEPI7YRDFkwq9cq13tuvw?e=Qq7e6x)**
*[mardi 14/11/2023] [A04:2021-Conception non sécurisée](https://owasp.org/Top10/fr/A04_2021-Insecure_Design/)
*[mardi 21/11/2023] [A05:2021-Mauvaise configuration de sécurité](https://owasp.org/Top10/fr/A05_2021-Security_Misconfiguration/)
*[mardi 28/11/2023] [A06:2021-Composants vulnérables et obsolètes](https://owasp.org/Top10/fr/A06_2021-Vulnerable_and_Outdated_Components/)
*[mardi 05/12/2023] [A07:2021-Identification et authentification de mauvaise qualité](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
*[lundi 16/01/2024] [A08:2021-Manque d'intégrité des données et du logiciel](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
*[lundi 23/01/2024] [A09:2021-Carence des systèmes de contrôle et de journalisation](https://owasp.org/Top10/fr/A09_2021-Security_Logging_and_Monitoring_Failures/)
* si un groupe souhaite travailler sur [A10:2021-Falsification de requête côté serveur](https://owasp.org/Top10/fr/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/) il est possible d'échanger avec une autre vulnérabilité
***Vous vous organiserez avec le fichier Excel [exposés FISA 2023-2024](https://ucafr.sharepoint.com/:x:/s/websec/EbKNHMhwplZHhA_GW0N80oQBKj6guKeRuPQsd0eJWJLojA?e=gVKl4y)**
Une faille est cachée sur le Système d'information de l'ISIMA. Le premier qui me l'envoie par mail à [vincent.mazenod@isima.fr](mailto:vincent.mazenod@isima.fr) verra sa note de présentation ET sa note d'examen finale augmentée de **3 points**.
...
...
@@ -447,6 +453,64 @@ Vous avez droit à autant de proposition que vous le souhaitez, car il y a fort
</div>
</div>
### 🔥 audit de sécurité sur 2 heures
#### thenetwork
le réseau thenetwork regroupe des personnes ayant suivi des formations d'excellence, dispensées par le réseau thenetwork lui-même. thenetwork a ainsi bâti au fil des années un réseau d'experts efficaces et loyaux les uns envers les autres.
thenetwork est un réseau extrêment fermé, qui se préoccupe beaucoup de la confientialité de ses données et de celles de ses utilisateurs. Rien est accessible sans un compte utilisateur hormis la page d'accueil.
thenetwork possède une partie publique permettant à chaque membre
* de laisser ses contacts
* d'afficher les formations thenetwork qu'il a suivi
* de rechercher parmis les autres membres du réseau
* de se mettre sur liste rouge et de disparaître complètement du moteur de recherche publique
* de mettre un ou plusieurs contacts sur liste rouge pour les réserver à la seule équipe du réseau thenetwork
thenetwork possède une interface d'adminstration permettant
* d'accéder à toutes les fiches des membres
* de saisir les résultats aux formations
Vous avez été missionné pour effectuer un rapport sur la sécurité de l'interface web du réseau thenetwork. Ce document est à destination de la direction de thenetwork, et de l'équipe technique qui maintient l'appli.
L'équipe technique a mis à votre disposition une machine virtuelle
- disponible sur les Vms des postes de TP
- installable via la rubrique [Recréer l'environnement de cours dans VirtualBox](/zz2-f5-securite-logicielle-securite-des-applications-web.html#recreer-lenvironnement-de-cours-dans-virtualbox)
Vous êtes en boîte blanche, les accés suivants sont donnés
- admin:pipo -> super utilisateur
- cwally:pipo -> simple utilisateur
- mwally:pipo -> simple utilisateur
#### livrables
Vous devez rendre un rapport exposant 3 vulnérabilités de l'appli thenetwork
Pour chacune de ces vulérabilités vous devrez
- la nommer
- mettre en évidence la portion de code vulnérable
- expliquer comment exploiter cette vulnérabilité
- expliquer le scénario le pire qui puisse arriver
- formuler quelques recommandations
- d'urgences pour patcher asap
- à plus long terme permettant d'améliorer la sécurité sur ce point
N.B. un BUG ou une incohérence dans les données n'est pas nécessairement une faille de sécurité (seules les failles doivent figurer dans le rapport)
# Barême
Chaque vulnérabilité est notée sur 6. Il reste donc 2 points qui seront attribués en cas
- d'exploitation particulèrement poussée
- complément de recommandations concernant le serveur et sa configuration
- découverte d'une quatrième faille (j'en ai vu au moins une autre ...)
*[Support de cours](/zz2-f5-securite-logicielle-securite-des-applications-web.html#supports-de-cours)
* 👋 Attention il n'y a que l'essentiel pour les attaques
* 👂 Beaucoup d'infos en cours (parfois demandées à l'exam)
* 🙌 n'hésitez pas à poser des questions
* 😎 peronnalisable pour **votre** confort
# 🎓 l'évaluation
- 📝 [exam écrit d'1h sans support / 10 points](/zz2-f5-securite-logicielle-securite-des-applications-web.html#examen-ecrit-en-fin-de-session-10-points)
- 📢 [présentation de groupe au début de chaque cours / 8 points](/zz2-f5-securite-logicielle-securite-des-applications-web.html#presentation-de-groupe-au-debut-de-chaque-cours-8-points)
