Scribd Logo
Importer

Bienvenue sur Scribd !

  • Devoir ASW TWIN2 06 04 2023 Corrigé

    Transféré par

    Gningninri Othniel Samson Coulibaly
    12 vues4 pages

    Titre original

    Devoir ASW TWIN2 06 04 2023 corrigé

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    12 vues4 pages

    Devoir ASW TWIN2 06 04 2023 Corrigé

    Transféré par

    Gningninri Othniel Samson Coulibaly

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 4

    Semestre 4 / Devoir N°1 Année académique : 2022-2023

    ECUE : ADMINISTRATION ET SECURITE WEB


    Parcours : TWIN 2 Durée : 02h00

    Exercice 1 : Vulnérabilité, menace et attaque (10 points)


    1. Définissez le D.I.C.P. (01 pt) : Disponibilité, Intégrité, Confidentialité, Preuve
    2. Donnez un exemple d’évaluation D.I.C.P. d’un site institutionnel d’une entreprise qui
    souhaite promouvoir ses services sur internet. (02 pt)
    Disponibilité= très fort
    Intégrité= très fort
    Confidentialité= Faible ou moyen
    Preuve= faible ou moyen

    3. Citer 4 mécanismes de sécurité pour atteindre les besoins D.I.C.P. et les définir. (02
    pts)
    Antivirus
    Cryptographie
    Pare-feu
    Contrôle d’accès logique
    Sécurité physique des équipements et locaux

    4. Définir les notions suivantes : (01,5 pt)


    a. Vulnérabilité : Faiblesse au niveau d’un bien (au niveau de la conception, de la
    réalisation, de l’installation, de la configuration ou de l’utilisation du bien)
    b. Menace : Cause potentielle d’un incident, qui pourrait entrainer des dommages
    sur un bien si cette menace se concrétisait.
    c. Attaque : Action malveillante destinée à porter atteinte à la sécurité d’un bien.
    Une attaque représente la concrétisation d’une menace, et nécessite
    l’exploitation d’une vulnérabilité. Une attaque ne peut donc avoir lieu (et
    réussir) que si le bien est affecté par une vulnérabilité
    5. Donner un exemple de problème de sécurité d’un système d’information, en veillant à
    mettre ces trois termes en évidence. Dans votre exemple, préciser la vulnérabilité, la
    menace et l’attaque. (01,5 pt) (selon l’exemple de l’étudiant)
    6. Voici une liste de menace de la sécurité d’un site web : phishing, fraude interne, virus
    informatique et le déni de service distribué (DDoS). (02 pts)
    a. Définir chacune d’elle.
    b. Phishing : L’hameçonnage (anglais : « phishing ») constitue une « attaque de
    masse » qui vise à abuser de la « naïveté » des clients ou des employés pour
    récupérer leurs identifiants de banque en ligne ou leurs numéros de carte
    bancaire…
    c. Fraude interne :

    1
    d. Virus informatique : Les virus informatiques constituent des « attaques
    massives » qui tendent à devenir de plus en plus ciblés sur un secteur d’activité
    (télécommunication, banque, défense, énergie, etc.) devenir de plus en plus
    sophistiqués et furtifs .
    e. Le déni de service distribué (DDoS) : La déni de service distribué (DDoS)
    constituent une « attaque ciblée » qui consiste à saturer un site Web de requêtes
    pour le mettre « hors-service » à l’aide de « botnets », réseaux d’ordinateurs
    infectés et contrôlés par les attaquants.
    f.

    Exercice 2 : Sécurité WEB (10 points)


    1. Qu’est-ce que le OWASP et le WASC ? (01 pt)
    a. OWASP, (OWASP: Open Web Application Security Project : est une
    communauté publique open source, formée en 2001. Il maintient le OWASP
    top 10, une liste qui identifie les rsiques les plus critiques de la sécurité
    applicative)
    b. WASC ? (Web Application Security Consortiums – Leurs objectifs est de
    développer et d’adopter des standards pour la sécurité des applications Web)

    2. Citer cinq vulnérabilités qu’un site web peut comporter. (01 pt)
    Références directes non sécurisées
    Mauvaise configuration de sécurité
    Exposition de données sensibles
    Manque de contrôle d’acces
    Falsification de requetes intersites (CSRF)
    Redirection et renvois non validés
    Etc…. voir tableau suivant :

    2
    3. Citer 4 conséquences de l’injection de code. (02 pts)
    – Fuite d’informations par le biais des messages d’erreurs du SGBD.
    – Echapper une séquence d’authentification
    – Extraction des données à partir de la base.
    – Prendre le contrôle complet sur la BD (insertion de données, suppression des
    tables, etc.)
    – Exécuter des commandes sur le système.
    – Compromettre le système.
    4. Citer deux solutions contre chacune des menaces suivantes :
    a. Injection de code ; (01 pt)
    –Validation des toutes les entrées : utiliser « white list » qui accepte les bonnes
    valeurs. Taille, type,..
    – Utilisation des API saines évitant toute utilisation de l’interpréteur
    Sinon, rejet des entrées contenant des données binaires, des séquences de
    caractères d'échappement et des caractères de commentaire.
    – Utilisation des procédures stockées pour valider les entrées.
    – Paramétrer les messages d’erreurs.
    – Appliquer le moindre privilège de connexion à la BD
    b. XSS ; (01 pt)
    –L’option à privilégier est d’échapper toute donnée non fiable selon le contexte
    HTML dans lequel elle sera insérée.
    – La validation positive des entrées est recommandée mais ne constitue pas
    une protection suffisante en raison des différentes manières dont les
    applications traitent leur contenu.
    – Considérez Content Security Policy (CSP) pour se protéger des attaques XSS
    sur l’ensemble de votre site

    c. CSRF ; (01 pt)

    3
    –S’assurer que l’utilisateur est l’auteur de la requête, soit par la
    réauthentification, soit par la vérification que la demande n’est pas
    automatisée.
    – La meilleure option est d’inclure un jeton unique dans un champ caché. Ce
    jeton, envoyé dans le corps de la requête HTTP, et non inséré à l’URL sera
    ainsi potentiellement moins exposé.
    – Le projet CSRF Guard de l’OWASP fournit des bibliothèques pour insérer
    de tels jetons dans les applications Java EE, .NET, ou PHP
    d. Redirections et renvois non validés ; (01 pt)
    – Eviter l’utilisation des redirections et des renvois.
    – En cas d’utilisation, ne pas utiliser de valeur de destination dans les
    paramètres utilisateur. Ceci est généralement réalisable.
    – Il est recommandé de ne pas utiliser d’URL dans les paramètres, mais plutôt
    une valeur abstraite qui sera traduite côté serveur par une URL cible. Les
    applications peuvent utiliser ESAPI afin de bénéficier de la fonction
    sendRedirect() permettant de s’assurer que les redirections soient sûre
    e. Références directes non sécurisées à un objet ; (01 pt)
    –Eviter d’exposer les références aux objets (clés primaires, nom de fichiers,…)
    – Valider toutes les références aux objets.
    – Vérifier toujours l’autorisation aux objets référencés.
    – Utiliser le modèle de sécurité positives pour accepter uniquement les bonnes
    références aux objets
    f. Violation de gestion d’authentification et de session. (01 pt)
    – Mécanismes pour sécuriser les mots de passe
    • choisir des mots de passe forts et complexes.
    • Protection et stockage des mots de passe : chiffrement
    • En cas de changement des mots de passe: ils doivent saisir l’ancien et
    le nouveau, validation par e-mail,..
    – Mécanismes sécurisés pour la gestion des IDs de session:
    • Combiner l’@IP soure avec l’ID de session
    • Chaque login génère un nouvel unique ID de session.
    • Forcer la ré-authentification termine le session hijacking
    • Terminer la session après un time out d’inactivité.
    • L’ID de session doit être long, compliqué, aléatoire,..
    • L’ID de session doit être protéger par SSL

    Vous aimerez peut-être aussi