Réalisation de l'activité en groupe de 2 ou 3 avec rédaction d'un compte-rendu de TP puis démonstration à l’autre groupe avec explication de tous les concepts mis en oeuvre.

Il s’agit de réaliser un défi permettant d’injecter du code malveillant XML afin de récupérer un fichier confidentiel sur le serveur cible.

Pour rappel, l’environnement de travail est le suivant :

• Le serveur Mutillidae propose un site Web conçu pour identifier et tester les failles de sécurité identifiées par l’OWASP. Il est possible pour chacune d’entre elles, de définir le niveau de sécurité appliqué.

Notre démarche consistera, pour le défi présenté :

1. à utiliser la version non sécurisée de la page concernée pour mettre en évidence la faille de sécurité ;
2. constater ensuite que l’attaque n’est plus possible dans la version sécurisée de cette page fournie par Mutillidae ;
3. étudier les mécanismes de sécurisation utilisés, donc le code de la page associée, pour identifier des bonnes pratiques de programmation.

Pour réaliser ce défi, l’outil BurpSuite n’a pas besoin d’être utilisé.

La réalisation du défi nécessite de consulter le dossier documentaire.