cyber:owasp6:activite2

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
cyber:owasp6:activite2 [2025/01/31 14:38] dthevenotcyber:owasp6:activite2 [2025/02/02 23:02] (Version actuelle) – [2À vous de jouer] dthevenot
Ligne 12: Ligne 12:
  
 Pour tester une injection distante, un mode opératoire est proposé sur l’application Mutillidae via la fourniture d’un script.  Pour tester une injection distante, un mode opératoire est proposé sur l’application Mutillidae via la fourniture d’un script. 
-  * Q1. Positionner le niveau de sécurité à 0 puis démarrer le serveur web apache présent sur la machine kali via la commande service apache2 start. +  * **Q1**. Positionner le niveau de sécurité à 0 puis démarrer le serveur web apache présent sur la machine kali via la commande service apache2 start. 
-  * Q2. Tester l’injection d’un lien externe (google par exemple ou une autre ressource locale si votre maquette n’a pas d’accès à internet). +  * **Q2**. Tester l’injection d’un lien externe (google par exemple ou une autre ressource locale si votre maquette n’a pas d’accès à internet). 
-  * Q3. Créer le script proposé par Mutillidae sur la page suivante : Hints and Videos=> Remote File Inclusion+  * **Q3**. Créer le script proposé par Mutillidae sur la page suivante : Hints and Videos=> Remote File Inclusion
  Nommer le script shell.php  Nommer le script shell.php
 {{:cyber:owasp6:script.png?400|}} {{:cyber:owasp6:script.png?400|}}
Ligne 20: Ligne 20:
  Déplacer ce script sur le serveur web du pirate puis tester son fonctionnement local.  Déplacer ce script sur le serveur web du pirate puis tester son fonctionnement local.
  
-  * Q4. Tester l’injection distante de ce script depuis l’application Mutillidae via l’url suivant qu’il faut adapter : (http://mutillidae  et http://[ATTACKING SERVER IP ADDRESS])+  * **Q4**. Tester l’injection distante de ce script depuis l’application Mutillidae via l’url suivant qu’il faut adapter : (http://mutillidae  et http://ATTACKING_SERVER_IP_ADDRESS)
  
  
Ligne 28: Ligne 28:
  
 Le but de cette deuxième partie est de tester à nouveau l’attaque après activation du codage sécurisé et de comprendre le codage mis en place pour sécuriser la page. Le but de cette deuxième partie est de tester à nouveau l’attaque après activation du codage sécurisé et de comprendre le codage mis en place pour sécuriser la page.
-  * Q1. Tester les niveaux de sécurité 1 et 5 et confirmer le comportement observé lors de l’injection locale. +  * **Q1**. Tester les niveaux de sécurité 1 et 5 et confirmer le comportement observé lors de l’injection locale. 
-  * Q2. Consulter le manuel PHP afin d’expliquer le rôle de la fonction preg_match présente dans le code sécurisé. +  * **Q2**. Consulter le manuel PHP afin d’expliquer le rôle de la fonction preg_match présente dans le code sécurisé.
  
  
 +{{ :cyber:owasp6:dossierdocumentaire2.pdf |}}
  
  • cyber/owasp6/activite2.1738330739.txt.gz
  • Dernière modification : 2025/01/31 14:38
  • de dthevenot