2024 update

content/Etudiants/zz2-f5-websec.md

 Title: ZZ2 F5 - Securité logicielle - sécurité des applications web
-Date: 2022-09-13 10:55
+Date: 2024-09-03 10:55
 Category: <i class='fa fa-graduation-cap' aria-hidden='true'></i> &Eacute;tudiants
 Tags: cours
 
@@ -269,13 +269,13 @@ vboxmanage  natnetwork add --netname natwebsec --network "172.16.76.0/24" --enab
 
 ### Télécharger les images OVA
 
-voir [https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/](https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/)
+voir [https://owncloud.isima.fr/s/9mAh9XS2QzjzifJ](https://owncloud.isima.fr/s/9mAh9XS2QzjzifJ)
 
-* [kali.ova](https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/files/?p=/kali.ova&dl=1)
-* [dvwa.ova](https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/files/?p=/dvwa.ova&dl=1)
-* [debian.ova](https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/files/?p=/debian.ova&dl=1)
-* [proxy.ova](https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/files/?p=/proxy.ova&dl=1)
-* [debian11](https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/files/?p=/debian11.ova&dl=1)
+* kali.ova
+* dvwa.ova
+* debian.ova
+* proxy.ova
+* debian11
 
 <div class="panel panel-warning">
   <div class="panel-heading">
@@ -417,7 +417,7 @@ Ce bug est dû à la numérotation fantaisiste d'Ubuntu des interfaces réseau .
 
 ### 📢 Présentation de groupe au début de chaque cours (8 points)
 
-* Chaque présentation durera 15 minutes et devra présenter l'une des catgorie de vulnérabilité du [OWASP Top 10:2021](https://owasp.org/Top10/fr/) c'est à dire
+* Chaque présentation durera 15 minutes et devra présenter l'une des catgories de vulnérabilité du [OWASP Top 10:2021](https://owasp.org/Top10/fr/) c'est à dire
       * présentation des risques
       * proposition et démonstration d'un scénrio d'attaque
         * DVWA est interdit car le cours le traite déjà
@@ -429,42 +429,46 @@ Ce bug est dû à la numérotation fantaisiste d'Ubuntu des interfaces réseau .
 
 #### Calendrier FISE 
 
-* [mardi 19/09/2023] [A01:2021-Broken Access Control](https://owasp.org/Top10/A01_2021-Broken_Access_Control/)
-* [mardi 26/09/2023] [A02:2021-Défaillances cryptographiques](https://owasp.org/Top10/fr/A02_2021-Cryptographic_Failures/)
-* [mardi 03/10/2023] [A03:2021-Injection](https://owasp.org/Top10/fr/A03_2021-Injection/)
-* [mardi 10/10/2023] [A04:2021-Conception non sécurisée](https://owasp.org/Top10/fr/A04_2021-Insecure_Design/)
-* [mardi 17/10/2023] [A05:2021-Mauvaise configuration de sécurité](https://owasp.org/Top10/fr/A05_2021-Security_Misconfiguration/)
-* [mardi 24/10/2023] [A06:2021-Composants vulnérables et obsolètes](https://owasp.org/Top10/fr/A06_2021-Vulnerable_and_Outdated_Components/)
-* [mardi 07/11/2023] [A07:2021-Identification et authentification de mauvaise qualité](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
-* [mardi 14/11/2023] [A08:2021-Manque d'intégrité des données et du logiciel](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
-* [mardi 21/11/2023] [A09:2021-Carence des systèmes de contrôle et de journalisation](https://owasp.org/Top10/fr/A09_2021-Security_Logging_and_Monitoring_Failures/)
+* [10/09/2024 10h00]
+* [17/09/2024 10h00] [A01:2021-Broken Access Control](https://owasp.org/Top10/A01_2021-Broken_Access_Control/)
+* [24/09/2024 10h00] [A02:2021-Défaillances cryptographiques](https://owasp.org/Top10/fr/A02_2021-Cryptographic_Failures/)
+* [01/10/2024 10h00] [A03:2021-Injection](https://owasp.org/Top10/fr/A03_2021-Injection/)
+* [11/10/2024 08h00] [A04:2021-Conception non sécurisée](https://owasp.org/Top10/fr/A04_2021-Insecure_Design/)
+* [15/10/2024 10h00] [A05:2021-Mauvaise configuration de sécurité](https://owasp.org/Top10/fr/A05_2021-Security_Misconfiguration/)
+* [05/11/2024 10h00] [A06:2021-Composants vulnérables et obsolètes](https://owasp.org/Top10/fr/A06_2021-Vulnerable_and_Outdated_Components/)
+* [08/11/2024 10h00] [A07:2021-Identification et authentification de mauvaise qualité](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
+* [12/11/2024 10h00] [A08:2021-Manque d'intégrité des données et du logiciel](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
+* [19/11/2024 10h00] [A09:2021-Carence des systèmes de contrôle et de journalisation](https://owasp.org/Top10/fr/A09_2021-Security_Logging_and_Monitoring_Failures/)
 * si un groupe souhaite travailler sur [A10:2021-Falsification de requête côté serveur](https://owasp.org/Top10/fr/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/) il est possible d'échanger avec une autre vulnérabilité
-* **Vous vous organiserez avec le fichier Excel [exposés FISE 2023-2024](https://ucafr.sharepoint.com/:x:/s/websec/EU1AedCh_zVJp8vaAocOOIcBYyEPI7YRDFkwq9cq13tuvw?e=Qq7e6x)**
+* **Vous vous organiserez avec le fichier Excel [exposés FISE 2023-2024](https://ucafr.sharepoint.com/:x:/s/websec/EbmHrZpxRnZIvKnwg_3yJ08BtGkOfpk59B7gvDEW7jkSYA?e=fCEolV)**
 
 #### Calendrier FISA
 
-* [mardi 19/09/2022] [A01:2021-Broken Access Control](https://owasp.org/Top10/A01_2021-Broken_Access_Control/)
-* [mardi 26/09/2023] [A02:2021-Défaillances cryptographiques](https://owasp.org/Top10/fr/A02_2021-Cryptographic_Failures/)
-* [mardi 07/11/2023] [A03:2021-Injection ](https://owasp.org/Top10/fr/A03_2021-Injection/)
-* [mardi 14/11/2023] [A04:2021-Conception non sécurisée](https://owasp.org/Top10/fr/A04_2021-Insecure_Design/)
-* [mardi 21/11/2023] [A05:2021-Mauvaise configuration de sécurité](https://owasp.org/Top10/fr/A05_2021-Security_Misconfiguration/)
-* [mardi 28/11/2023] [A06:2021-Composants vulnérables et obsolètes](https://owasp.org/Top10/fr/A06_2021-Vulnerable_and_Outdated_Components/)
-* [mardi 05/12/2023] [A07:2021-Identification et authentification de mauvaise qualité](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
-* [lundi 16/01/2024] [A08:2021-Manque d'intégrité des données et du logiciel](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
-* [lundi 23/01/2024] [A09:2021-Carence des systèmes de contrôle et de journalisation](https://owasp.org/Top10/fr/A09_2021-Security_Logging_and_Monitoring_Failures/)
-* si un groupe souhaite travailler sur [A10:2021-Falsification de requête côté serveur](https://owasp.org/Top10/fr/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/) il est possible d'échanger avec une autre vulnérabilité
-* **Vous vous organiserez avec le fichier Excel [exposés FISA 2023-2024](https://ucafr.sharepoint.com/:x:/s/websec/EbKNHMhwplZHhA_GW0N80oQBKj6guKeRuPQsd0eJWJLojA?e=gVKl4y)**
+* [03/09/2024 13h30]
+* [10/09/2024 13h30] [A01:2021-Broken Access Control](https://owasp.org/Top10/A01_2021-Broken_Access_Control/)
+* [17/09/2024 13h30] [A02:2021-Défaillances cryptographiques](https://owasp.org/Top10/fr/A02_2021-Cryptographic_Failures/)
+* [24/09/2024 13h30] [A03:2021-Injection ](https://owasp.org/Top10/fr/A03_2021-Injection/)
+* [05/11/2024 13h30] [A04:2021-Conception non sécurisée](https://owasp.org/Top10/fr/A04_2021-Insecure_Design/)
+* [12/11/2024 13h30] [A05:2021-Mauvaise configuration de sécurité](https://owasp.org/Top10/fr/A05_2021-Security_Misconfiguration/)
+* [19/11/2024 13h30] [A06:2021-Composants vulnérables et obsolètes](https://owasp.org/Top10/fr/A06_2021-Vulnerable_and_Outdated_Components/)
+* [26/11/2024 10h00] [A07:2021-Identification et authentification de mauvaise qualité](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
+* [26/11/2024 13h30] [A08:2021-Manque d'intégrité des données et du logiciel](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
+* [03/12/2024 10h00] [A09:2021-Carence des systèmes de contrôle et de journalisation](https://owasp.org/Top10/fr/A09_2021-Security_Logging_and_Monitoring_Failures/)
+* [03/12/2024 13h30] [A10:2021-Falsification de requête côté serveur](https://owasp.org/Top10/fr/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/)
+* [14/12/2024 13h30]
+
+* **Vous vous organiserez avec le fichier Excel [exposés FISA 2023-2024](https://ucafr.sharepoint.com/:x:/s/websec/Ecs8_fKFoZ9GsGYqjuXligoB-QFi2hvJr11qOHH-AW53-w?e=3EzoW7)**
   
 ### 🔨 Note technique (2 points)
 
-* l'url `http://vm-etu-<username>.local.isima.fr` devra renvoyer un code HTTP 200
-* l'url `http://vm-etu-<username>.local.isima.fr/websec` devra renvoyer un code HTTP 401
-* l'url `http://kali:kali@vm-etu-<username>.local.isima.fr/websec` devra renvoyer un code HTTP 200
+* l'url `http://vm-<username>.local.isima.fr` devra renvoyer un code HTTP 200
+* l'url `http://vm-<username>.local.isima.fr/websec` devra renvoyer un code HTTP 401
+* l'url `http://kali:kali@vm-<username>.local.isima.fr/websec` devra renvoyer un code HTTP 200
 
 vérifiez à tout moment que vous aurez le maximum de points avec les [websec-checker](https://gitlab.isima.fr/vimazeno/websec-checker)
 
 
-### 🔐 bonus piraterie (+3 points)
+<!-- ### 🔐 bonus piraterie (+3 points)
 
 Une faille est cachée sur le Système d'information de l'ISIMA. Le premier qui me l'envoie par mail à [vincent.mazenod@isima.fr](mailto:vincent.mazenod@isima.fr) verra sa note de présentation ET sa note d'examen finale augmentée de **3 points**.
 
@@ -488,7 +492,7 @@ Vous avez droit à autant de proposition que vous le souhaitez, car il y a fort
       <li>La faille est accessible depuis l'extérieur, pas besoin du <a href="https://doc.isima.fr/acces-distant/vpn">VPN</a></li>
     </ol>
   </div>
-</div>
+</div> -->
 
 <!--
 ### 🔥 audit de sécurité sur 2 heures
@@ -624,7 +628,7 @@ Un repo Gitlab sur [https://gitlab.isima.fr](https://gitlab.isima.fr), par binô
 
 ## Evaluation du cours
 
-Vous avez aimé ou vous avez détesté ce cours ... [donnez moi votre avis et aidez moi à l'améliorer (en tout anonymat)](https://docs.google.com/forms/d/1-eqDphSzROWVQoJ5adKBG31us7-s9ZkwnKktK7wSLhs/prefill)
+Vous avez aimé ou vous avez détesté ce cours ... [donnez moi votre avis et aidez moi à l'améliorer (en tout anonymat)](https://docs.google.com/forms/d/1avtXTo4vmbGZJA22hatzFjjfo40CPEIHkc9D9tzX7eM)
 
 
 ## See also

content/slides/1337/exploits/install.sh

+echo off
+color 0a
+title Hacking System...
+echo Accessing mainframe...
+ping localhost -n 2 >nul
+echo Mainframe accessed.
+ping localhost -n 2 >nul
+echo Decrypting firewall...
+ping localhost -n 2 >nul
+echo Firewall decrypted.
+ping localhost -n 2 >nul
+echo Initiating backdoor entry...
+ping localhost -n 2 >nul
+echo Backdoor entry successful.
+ping localhost -n 2 >nul
+echo Downloading Trojan...
+ping localhost -n 2 >nul
+echo Trojan downloaded successfully.
+ping localhost -n 2 >nul
+echo Sending data to hacker's server...
+ping localhost -n 2 >nul
+echo Data sent successfully.
+ping localhost -n 2 >nul
+echo Initiating system shutdown...
+ping localhost -n 2 >nul
+shutdown -s -t 30 -c "System hacked! Initiating self-destruct sequence..."
\ No newline at end of file

content/slides/1337/http.html

@@ -68,7 +68,7 @@
     </script>
     <script>
       document.addEventListener('DOMContentLoaded', function () {
-        q = "w00t"; // search query
+        q = "finger guns"; // search query
 
         request = new XMLHttpRequest;
         request.open('GET', 'https://api.giphy.com/v1/gifs/random?api_key=GmPNFEPI5osSNgLf9IcWoq00anejpuQY&tag='+q, true);

content/slides/1337/md/lab.md

@@ -4,9 +4,10 @@
 
 ### h4PpY H4Ck1nG
 
-## <i class="fa-solid fa-poo-storm"></i> pitch V2 🙉
 
-* [http://dvwa](http://dvwa) 
+## <i class="fa-solid fa-poo-storm"></i> environnement
+
+* [http://dv.wa](http://dv.wa) 
     * la vulnérable
 * [https://perso.limos.fr/mazenod/slides/1337/exploits](https://perso.limos.fr/mazenod/slides/1337/exploits) 
     * la malicieuse
@@ -14,16 +15,17 @@
     * l'attaquante
 
 
-## <i class="fa-solid fa-poo-storm"></i> pitch étendu 😭
+## <i class="fa-solid fa-poo-storm"></i> environnement
 
 * [http://proxy](http://proxy) 
     * la passerelle percée
 * [http://debian](http://debian) 
     * la mututalisée moisie
-* [http://thenetwork](http://thenetwork) 
-    * la white box pour l'audit de sécurité (*FISA ONLY*)
 * [http://debian11](http://debian11) 
     * la fresh
+* [http://thenetwork](http://thenetwork) 
+    * la white box pour l'audit de sécurité (*FISA MAYBE*)
+        * https://www.digitalocean.com/community/tutorials/how-to-use-sshfs-to-mount-remote-file-systems-over-ssh
 
 
 ## VirtualBox
@@ -165,10 +167,4 @@ install [Web developer](https://chrispederick.com/work/web-developer/)
     - ca commence la **SEMAINE PROCHAINE**
         - [calendrier FISE](/zz2-f5-securite-logicielle-securite-des-applications-web.html#calendrier-fise)
         - [calendrier FISA](/zz2-f5-securite-logicielle-securite-des-applications-web.html#calendrier-fisa)
-- 🔨 [installation de DVWA / 2](/zz2-f5-securite-logicielle-securite-des-applications-web.html#installer-dvwa-sur-sa-vm-perso-8-points)
-- 🔐 [bonus pirate / +3 points](/zz2-f5-securite-logicielle-securite-des-applications-web.html#bonus-piraterie-3-points)
+- 🔨 [Note technique / 2](/zz2-f5-securite-logicielle-securite-des-applications-web.html#note-technique-2-points)
\ No newline at end of file
-
-
-# l'évaluation FISA Only
-
-- 🔥 [audit de sécurité sur 2 heures](/zz2-f5-securite-logicielle-securite-des-applications-web.html#audit-de-securite-sur-2-heures)
\ No newline at end of file

content/slides/main.js

@@ -34,8 +34,8 @@ Reveal.addEventListener( "ready", (event) => {
                 url.origin == "http://dv.wa"
                 && user != ""
             ) {
-                a.href = "http://vm-etu-" + user + ".local.isima.fr" + url.pathname + url.search;
-                a.innerHTML = "http://vm-etu-" + user + ".local.isima.fr" + url.pathname + url.search;
+                a.href = "http://vm-" + user + ".local.isima.fr" + url.pathname + url.search;
+                a.innerHTML = "http://vm-" + user + ".local.isima.fr" + url.pathname + url.search;
                 a.target = "_blank";
             }
         }
@@ -44,7 +44,7 @@ Reveal.addEventListener( "ready", (event) => {
     for (let code of document.getElementsByTagName("code")) {
 
         if (user != "") {
-            code.innerHTML = code.innerHTML.replaceAll("dv.wa", "vm-etu-" + user + ".local.isima.fr");
+            code.innerHTML = code.innerHTML.replaceAll("dv.wa", "vm-" + user + ".local.isima.fr");
         }
 
     }

pelicanconf.py

@@ -75,7 +75,7 @@ SOCIAL = (
     (
         'users-cog',
         '<span style="font-size:13px">CRI ISIMA/LIMOS</span>',
-        './slides/cri/cri.html'
+        'https://hedgedoc.isima.fr/p/gD_i47uIi#/'
     ),
     (
         'building',