Différences

Ci-dessous, les différences entre deux révisions de la page.

--- cyber:owasp4:activite_1 [2025/01/26 15:19] – [Travail à faire 1 - Mise en place de l’attaque par **fuzzing**] dthevenot
+++ cyber:owasp4:activite_1 [2025/01/26 16:16] (Version actuelle) – [Environnement de travail] dthevenot
@@ Ligne 12: / Ligne 12: @@
   - paramétrer l'environnement de travail en utilisant la machine Hacker et la machine Serveur.
     - mettre les 2 dans le réseau interne
-    - configurer leur adresse IP et tester qu'elles communiquent, que le site mutillidae s'affiche dans le navigateur du Hacker
+    - configurer leur adresse IP et tester qu'elles communiquent, que le site mutillidae s'affiche dans le navigateur du Hacker(configuration sans proxy)-rester sur la page web d'accueil de mutillidae
-    - changer le proxy de la machine Hacker pour mettre sa propre adresse IP pour obligé l'utilisation du proxy de BurpSuite
+    - changer le proxy de la machine Hacker pour mettre sa propre adresse IPet port 8080 pour obliger l'utilisation du proxy de BurpSuite
-  - positionner le niveau de sécurité de Mutillidae à 0.
+    - Configurer Burp Suite pour écouter sur l'adresse réseau de la machine Hacker : allez dans Burp Suite, sous l'onglet Proxy > Options. Dans la section "Proxy Listeners", vous verrez une liste des interfaces sur lesquelles Burp Suite écoute. Par défaut, Burp écoute sur 127.0.0.1:8080. Sélectionnez cette ligne et cliquez sur Edit. Changez l'adresse 127.0.0.1 en : 192.168.50.20 (l'adresse IP de la machine qui héberge Burp Suite sur le réseau interne), ou 0.0.0.0 pour écouter sur toutes les interfaces réseau. Cliquez sur OK pour valider.
+    - positionner le niveau de sécurité de Mutillidae à 0.
 ===== À vous de jouer =====
@@ Ligne 25: / Ligne 26: @@
 Le but de cette deuxième partie est de tester à nouveau l’attaque après activation du codage sécurisé et de comprendre l’encodage mis en place.
 === Test du niveau 1 de sécurité (à changer sur le site web) : ===
-  * Q1.	Est-ce que le niveau de sécurité 1 permet d’éviter cette brèche d’information ? Se rendre sur le code source de la page phpinfo.php sur le serveur pour expliquer le comportement du serveur face à cette attaque avec ce niveau de sécurité.
+  * **Q1**.	Est-ce que le niveau de sécurité 1 permet d’éviter cette brèche d’information ? Se rendre sur le code source de la page phpinfo.php sur le serveur pour expliquer le comportement du serveur face à cette attaque avec ce niveau de sécurité.
 === Test du niveau 5 de sécurité (à changer sur le site web) : ===
-  * Q2.	Est-ce que le niveau de sécurité 5 permet d’éviter cette brèche d’information ?
+  * **Q2**.	Est-ce que le niveau de sécurité 5 permet d’éviter cette brèche d’information ?
-  * Q3.	Expliquer le mécanisme de sécurité mis en œuvre dans le code source. Tous les utilisateurs ont-ils interdiction d’accéder à cette page ?
+  * **Q3**.	Expliquer le mécanisme de sécurité mis en œuvre dans le code source. Tous les utilisateurs ont-ils interdiction d’accéder à cette page ?
-  * Q4.	Proposer une solution de sécurité basée sur la configuration du fichier php.ini du serveur Web qui empêcherait tout utilisateur, y compris l’administrateur, d’accéder à cette page par le Web. Le fichier php.ini est situé dans /etc/php/7.0/apache2.
+  * **Q4**.	Proposer une solution de sécurité basée sur la configuration du fichier php.ini du serveur Web qui empêcherait tout utilisateur, y compris l’administrateur, d’accéder à cette page par le Web. Le fichier php.ini est situé dans /etc/php/7.0/apache2.
 {{ :cyber:owasp4:documentaireactivite1.pdf |Dossier documentaire}}