cyber:owasp5:activite

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		 Révision précédente
cyber:owasp5:activite [2025/01/26 19:23] – créée dthevenotcyber:owasp5:activite [2025/02/03 17:11] (Version actuelle) – [Travail à faire 2 - Nouvelle tentative en mode sécurisé et analyse du code source] dthevenot
Ligne 10: Ligne 10:
  
   * **Q1**. Commencer par préparer votre environnement de travail en démarrant le serveur Mutillidae ainsi que la machine cliente. Vérifier que vos deux machines communiquent à l’aide de la commande ping. Puis, positionner le niveau de sécurité de Mutillidae à 0.   * **Q1**. Commencer par préparer votre environnement de travail en démarrant le serveur Mutillidae ainsi que la machine cliente. Vérifier que vos deux machines communiquent à l’aide de la commande ping. Puis, positionner le niveau de sécurité de Mutillidae à 0.
-  * **Q2**. À l’aide du dossier documentaire, réaliser le défi permettant d’afficher le fichier confidentiel contenant la liste des utilisateurs /etc/passwd. Vous prendrez soin de réaliser vos propres captures d’écrans dans votre compte rendu de TP.+  * **Q2**. À l’aide du dossier documentaire ci-dessous, réaliser le défi permettant d’afficher le fichier confidentiel contenant la liste des utilisateurs /etc/passwd. Vous prendrez soin de réaliser vos propres captures d’écrans dans votre compte rendu de TP.
  
 ==== Travail à faire 2 - Nouvelle tentative en mode sécurisé et analyse du code source ==== ==== Travail à faire 2 - Nouvelle tentative en mode sécurisé et analyse du code source ====
Ligne 17: Ligne 17:
 Test du niveau de sécurité 1 (Client-Side Security) : Test du niveau de sécurité 1 (Client-Side Security) :
  
-  * Q1. Est-ce que le niveau de sécurité 1 permet d’éviter l’attaque XXE ? Si oui, est-ce dû à une protection spécifique contre le XXE ? +  * **Q1**. Est-ce que le niveau de sécurité 1 permet d’éviter l’attaque XXE ? Si oui, est-ce dû à une protection spécifique contre le XXE ? 
-  * Q2. Dans la page xml-validator.php, expliquer le rôle des blocs de code suivants : +  * **Q2**. Dans la page xml-validator.php, expliquer le rôle des blocs de code suivants : 
 +    - {{:cyber:owasp5:owasp-a11a.png?200|}} 
 +    - {{:cyber:owasp5:owasp-a11b.png?400|}}
 Remarques : Remarques :
-1. l’affichage du code source Javascript peut s’effectuer en utilisant la combinaison de touches CTRL ° U car il s’agit d’un code coté client ; +  - l’affichage du code source Javascript peut s’effectuer en utilisant la combinaison de touches CTRL ° U car il s’agit d’un code coté client ; 
-2. une variante de cette question peut être de demander aux étudiants de rechercher le bloc de code effectuant la vérification sur les caractères suspects.+  une variante de cette question peut être de demander aux étudiants de rechercher le bloc de code effectuant la vérification sur les caractères suspects.
  
 ==== Test du niveau de sécurité 5 (Secure) : ==== ==== Test du niveau de sécurité 5 (Secure) : ====
Ligne 31: Ligne 32:
   * **Q7**. Expliquer le rôle de la fonction libxml_disable_entity_loader. Qu’en est-il de cette fonction depuis PHP8.0 ?   * **Q7**. Expliquer le rôle de la fonction libxml_disable_entity_loader. Qu’en est-il de cette fonction depuis PHP8.0 ?
   * **Q8**. Conclure sur la méthode de codage sécurisée utilisée pour empêcher l’attaque XXE.   * **Q8**. Conclure sur la méthode de codage sécurisée utilisée pour empêcher l’attaque XXE.
 +
 +{{ :cyber:owasp5:documentation.pdf |Dossier documentaire}}
  • cyber/owasp5/activite.1737915816.txt.gz
  • Dernière modification : 2025/01/26 19:23
  • de dthevenot