Académique Documents
Professionnel Documents
Culture Documents
Dans ce projet, vous allez devoir effectuer le test d’intrusion de l’application InsecureBankV2
ou de l’OWASP AndroGOAT.
- InsecureBankV2 : https://github.com/dineshshetty/Android-InsecureBankv2
- AndroGOAT
Ces machines sont des DVA (Damn Vulnerable Application), elles sont donc truffées de
vulnérabilités !
Appliquez les techniques de test d'intrusion vu en cours pour identifier des vulnérabilités sur
l'application choisie. À l'aide de vos recherches, expliquez comment sécuriser l'élément
vulnérable. Vous pouvez vous aider de la doc de l'application ou de toute autre ressource
trouvée en ligne.
Rendu attendu :
Dans ce projet, vous êtes évalué sur la démarche de recherche associée à l'exercice. De
nombreuses informations sont disponibles sur Internet, vous serez donc noté sur vos
explications, votre compréhension des éléments identifiés, le soin apporté à votre prise de
preuves numériques et enfin sur vos propositions de correction de vulnérabilité.
Soutenance – 27 février :
- Lors de la soutenance, vous ferez un compte rendu d’audit à l’aide du support de votre
choix.
- Le but est ici de simuler un véritable compte rendu d’entreprise. Synthétisez donc les
éléments identifiés dans l’audit pour les transmettre au client final.
- Déroulé : 10 min de présentation + 10 min max de questions par groupe.
Pour réaliser ce projet, vous pouvez vous appuyer sur le document OWASP MASTG et le
système de classification de risque OWASP détaillé dans le Template de rapport.
Exemple de rapport :
Quatre vulnérabilités critique ont été remontées. Elles ont toutes permis d’obtenir un
accès et des privilèges Administrateur sur la machine.
Plusieurs vulnérabilités majeures ont également été relevées : des composants ayant
des vulnérabilités connues et exploits publics ont été détectés et peuvent être
exploités par un attaquant.
De nombreuses autres vulnérabilités sont présentes sur la machine cible. Il n’a pas
été possible de réaliser un listing exhaustif durant le temps imparti aux tests.
0
Note Faible Moyen Élevé Critique
Les experts sécurité de ….. recommandent pour les services interne en priorité de :
L’ensemble des vulnérabilités trouvées dans le périmètre sont classées par risque
dans le tableau ci-dessous :
Description
Risque
Correction proposée
V1 Titre de la vuln
Vraisemblance Élevé
Niveau de
Impact Élevé Critique
risque
Authentification Non-authentifié
Vraisemblance
Impact
• la confidentialité
• l’intégrité
• la disponibilité
• la traçabilité
• dégâts financiers
• perte d’image de marque de l’entreprise
• non-conformité
• violation de vie privée
Risque