====== Bloc2 - SLAM - Données et cybersécurité d'une solution applicative et de son développement ====== ====== Cybersécurité : Protéger une application web====== * adaptation d'activités proposées par le [[https://www.reseaucerta.org/|ReseauCerta]] * **Contexte de travail** : OWASP - exploitation d'une plateforme d’apprentissage des vulnérabilités des applications web - {{ :promo_2025:slam:1-installation_1_.pdf |mise en place}} * **Compte-rendu de l'activité + réponses aux questions** à déposer sur le dépôt gitea : https://gitea.lyc-lecastel.fr/delphine.thevenot/ActivitesOWASP.git Toutes les manipulations décrites sont réalisées uniquement sur la plateforme pédagogique présentée. Elles ne doivent en aucun cas être testées sur d'autres sites web. * **27/01-A10-Brèches sur des informations confidentielles **: Cette faille arrive en 3ième position dans le classement OWASP 2017 et en 2ième position dans le classement 2021. - [[cyber:OWASP4:Objectifs des activités]](compétences et savoirs) - [[cyber:OWASP4:Méthodologie]] - [[cyber:OWASP4:Problématique des informations confidentielles (cours et rappels de cours)]] - [[cyber:OWASP4:Activité 1]] : Découverte d’une page cachée contenant des informations de configurations confidentielles ''1 étudiant : François'' - [[cyber:OWASP4:Activité 2]] : Brèche dans la configuration SSL ''1 étudiant : Ines'' - [[cyber:OWASP4:Conclusion]] * **03/02-A11-Attaques de type XXE (XML External Entities) **: Cette faille arrive en 5ième position dans le classement OWASP 2021. - [[cyber:OWASP5:Objectifs des activités]](compétences et savoirs) - [[cyber:OWASP5:Méthodologie]] - {{ :cyber:owasp5:xml.pdf |le format XML}} - [[cyber:OWASP5:Activité]] : Récupération du fichier système /etc/passwd ''1 étudiant : Maissane'' - [[cyber:OWASP5:Conclusion]] * **10/02-A12-Inclusion de fichiers locaux et distants** ''1 étudiant : Morgann'' - [[cyber:OWASP6:Objectifs des activités]](compétences et savoirs) - [[cyber:OWASP6:Méthodologie]] - {{ :cyber:owasp6:inclusiondefichiers.pdf |La problématique de l'inclusion de fichiers}} - [[cyber:OWASP6:Activité1]] : injection locale - [[cyber:OWASP6:Activité2]] : injection distante - [[cyber:OWASP6:Conclusion]] * **10/02-A13-Défauts de configurations de chiffrement** ''1 étudiant : Joséphine'' - [[cyber:OWASP7:Objectifs des activités]](compétences et savoirs) - {{ :promo_2025:cyber:owasp7:introduction.pdf |}} - {{ :cyber:owasp7:activite1.pdf |Activité 1 : scan des algorithmes de chiffrement d’une application web }} - {{ :cyber:owasp7:activite2.pdf |Activité 2 : force brute d’un mot de passe haché en MD5 }} - {{ :cyber:owasp7:documentation.pdf |}} - [[cyber:OWASP7:Conclusion]] * **10/02-A14-Falsification de requêtes côté serveur (SSRF – Server Side Request Forgery)** - [[cyber:OWASP8:Objectifs des activités]](compétences et savoirs) - {{ :cyber:owasp8:introduction.pdf |}} - {{ :cyber:owasp8:modalites.pdf |}} - {{ :cyber:owasp8:activite1.pdf |}} - {{ :cyber:owasp8:documentation1.pdf |}} - {{ :cyber:owasp8:activite2.pdf |}} - {{ :cyber:owasp8:documentation2.pdf |}} * **Evaluation bilan des activités le 14/04/2025** ====== Gestion de données - Activités en classe/TP ====== * **06/09-A01**: {{ :promo_2025:slam:a01-revisionsmea.pdf |}} + diagramme de classe + modèle relationnel textuel * **06/09-A02**: {{ :promo_2025:slam:a02-jointures.pdf |}} + script à importer [[https://drive.google.com/file/d/1jIsdZ5hIgLMFQP0za-21zsexBjwOPfTk/view?usp=drive_link|BDFormations.sql]] * **12/09-A03**: {{ :promo_2025:slam:tp1-bdaim.pdf |a03-Cas CAPDC}} évolution d'une base de données, préparation d'un jeu d'essai, contrôle, sécurisation et interrogation des données, découvertes des vues + script initial [[https://drive.google.com/file/d/1xJWvovWGKOgqgS2-aHMWpOSPanSjSoUJ/view?usp=drive_link|BdAIM.sql]] * **26/09-A04**: {{ :promo_2025:slam:d4a04-evenements.pdf |première approche de la programmation au sein d’un SGBD, la programmation d'événements}} + script [[https://drive.google.com/file/d/1qfO1Ptg_asVq0xazqBwmS3jobgy-BjXE/view?usp=drive_link|table Achete]] * **10/10-A05**: [[D4-A05-La programmation de déclencheurs]] * **17/10-A06**: [[D4-A06-Les procédures et fonctions stockées]] * **28/11-A07**: [[D4-A07-exercice applicatif sur les déclencheurs]] * [[D4-A08-Utiliser des fonctions et procédures stockées dans une application web]] * **19/12-A09**: [[D4-A09-Les données structurées et non structurées]]