cyber:owasp4:activite_1

Ceci est une ancienne révision du document !

Découverte d’une page cachée contenant des informations de configurations confidentielles

Objectif

Afficher le contenu de la page phpinfo qui contient des informations de configurations confidentielles sur le serveur Web. Ces informations pourraient être exploitées de manière malveillante.

Environnement de travail

Deux machines éventuellement virtualisées sont nécessaires avec Linux comme système d’exploitation :

Le premier défi nécessite d’utiliser l’outil BurpSuite. La machine attaquante comprend un navigateur ainsi que le proxy BurpSuite qui permet d’intercepter les requêtes avant de les envoyer au serveur. L’objectif étant de modifier les paramètres de certaines requêtes afin de tester des injections de code. Par exemple, la valeur saisie pour le login sera remplacée par du code JavaScript.

  1. paramétrer l'environnement de travail en utilisant la machine Hacker et la machine Serveur.
    1. mettre les 2 dans le réseau interne
    2. configurer leur adresse IP et tester qu'elles communiquent, que le site mutillidae s'affiche dans le navigateur du Hacker
    3. changer le proxy de la machine Hacker pour mettre sa propre adresse IP pour obligé l'utilisation du proxy de BurpSuite
  2. positionner le niveau de sécurité de Mutillidae à 0.

Dossier documentaire

  • cyber/owasp4/activite_1.1737900776.txt.gz
  • Dernière modification : 2025/01/26 15:12
  • de dthevenot