sio2:slam-d4 [SIO Wiki]

Cette page est en lecture seule. Vous pouvez afficher le texte source, mais ne pourrez pas le modifier. Contactez votre administrateur si vous pensez qu'il s'agit d'une erreur.
====== Bloc2 - SLAM - Données et cybersécurité d'une solution applicative et de son développement ======

====== Cybersécurité : Protéger une application web======
  * adaptation d'activités proposées par le [[https://www.reseaucerta.org/|ReseauCerta]]
  * **Contexte de travail** : OWASP - exploitation d'une plateforme d’apprentissage des vulnérabilités des applications web - {{ :promo_2025:slam:1-installation_1_.pdf |mise en place}} 
  * **Compte-rendu de l'activité + réponses aux questions** à déposer sur le dépôt gitea : https://gitea.lyc-lecastel.fr/delphine.thevenot/ActivitesOWASP.git
<bootnote warning>Toutes les manipulations décrites sont réalisées uniquement sur la plateforme pédagogique présentée. Elles ne doivent en aucun cas être testées sur d'autres sites web.</bootnote>
  * **27/01-A10-Brèches sur des informations confidentielles **: Cette faille arrive en 3ième position dans le classement OWASP 2017 et en 2ième position dans le classement 2021.
    - [[cyber:OWASP4:Objectifs des activités]](compétences et savoirs)   
    - [[cyber:OWASP4:Méthodologie]] 
    - [[cyber:OWASP4:Problématique des informations confidentielles (cours et rappels de cours)]]
    - [[cyber:OWASP4:Activité 1]] : Découverte d’une page cachée contenant des informations de configurations confidentielles ''1 étudiant : François''
    - [[cyber:OWASP4:Activité 2]] : Brèche dans la configuration SSL ''1 étudiant : Ines''
    - [[cyber:OWASP4:Conclusion]]
  * **03/02-A11-Attaques de type XXE (XML External Entities) **: Cette faille arrive en 5ième position dans le classement OWASP 2021.
    - [[cyber:OWASP5:Objectifs des activités]](compétences et savoirs)   
    - [[cyber:OWASP5:Méthodologie]] 
    - {{ :cyber:owasp5:xml.pdf |le format XML}}
    - [[cyber:OWASP5:Activité]] : Récupération du fichier système /etc/passwd ''1 étudiant : Maissane''
    - [[cyber:OWASP5:Conclusion]]
  * **10/02-A12-Inclusion de fichiers locaux et distants** ''1 étudiant : Morgann''
    - [[cyber:OWASP6:Objectifs des activités]](compétences et savoirs)   
    - [[cyber:OWASP6:Méthodologie]] 
    - {{ :cyber:owasp6:inclusiondefichiers.pdf |La problématique de l'inclusion de fichiers}}
    - [[cyber:OWASP6:Activité1]] : injection locale
    - [[cyber:OWASP6:Activité2]] : injection distante
    - [[cyber:OWASP6:Conclusion]]
  * **10/02-A13-Défauts de configurations de chiffrement** ''1 étudiant : Joséphine''
    - [[cyber:OWASP7:Objectifs des activités]](compétences et savoirs)   
    - {{ :promo_2025:cyber:owasp7:introduction.pdf |}}
    - {{ :cyber:owasp7:activite1.pdf |Activité 1 : scan des algorithmes de chiffrement d’une application 
web }} 
    - {{ :cyber:owasp7:activite2.pdf |Activité 2 : force brute d’un mot de passe haché en MD5 }} 
    - {{ :cyber:owasp7:documentation.pdf |}} 
    - [[cyber:OWASP7:Conclusion]]
  * **10/02-A14-Falsification de requêtes côté serveur (SSRF – Server Side Request Forgery)**
    - [[cyber:OWASP8:Objectifs des activités]](compétences et savoirs)  
    - {{ :cyber:owasp8:introduction.pdf |}}
    - {{ :cyber:owasp8:modalites.pdf |}}
    - {{ :cyber:owasp8:activite1.pdf |}} - {{ :cyber:owasp8:documentation1.pdf |}}
    - {{ :cyber:owasp8:activite2.pdf |}} - {{ :cyber:owasp8:documentation2.pdf |}}
  * **Evaluation bilan des activités le 14/04/2025**
 
====== Gestion de données - Activités en classe/TP ======
  * **06/09-A01**: {{ :promo_2025:slam:a01-revisionsmea.pdf |}} + diagramme de classe + modèle relationnel textuel
  * **06/09-A02**: {{ :promo_2025:slam:a02-jointures.pdf |}} + script à importer [[https://drive.google.com/file/d/1jIsdZ5hIgLMFQP0za-21zsexBjwOPfTk/view?usp=drive_link|BDFormations.sql]]
  * **12/09-A03**: {{ :promo_2025:slam:tp1-bdaim.pdf |a03-Cas CAPDC}} évolution d'une base de données, préparation d'un jeu d'essai, contrôle, sécurisation et interrogation des données, découvertes des vues + script initial [[https://drive.google.com/file/d/1xJWvovWGKOgqgS2-aHMWpOSPanSjSoUJ/view?usp=drive_link|BdAIM.sql]]
  * **26/09-A04**: {{ :promo_2025:slam:d4a04-evenements.pdf |première approche de la programmation au sein d’un SGBD, la programmation d'événements}} + script [[https://drive.google.com/file/d/1qfO1Ptg_asVq0xazqBwmS3jobgy-BjXE/view?usp=drive_link|table Achete]]
  * **10/10-A05**: [[D4-A05-La programmation de déclencheurs]]
  * **17/10-A06**: [[D4-A06-Les procédures et fonctions stockées]]
  * **28/11-A07**: [[D4-A07-exercice applicatif sur les déclencheurs]]
  * [[D4-A08-Utiliser des fonctions et procédures stockées dans une application web]]
  * **19/12-A09**: [[D4-A09-Les données structurées et non structurées]]