Aller au contenu principal

Exposé oral

attention

Vous allez maintenant préparer une présentation orale d'une vulnérabilité présente dans le Top 10 de l'OWASP.

Top 10 de l'OWASP

1. Contrôles d'accès défaillants
2. Défaillances cryptographiques
3. Injection
4. Conception non sécurisée
5. Mauvaise configuration de sécurité
6. Composants vulnérables et obsolètes
7. Identification et authentification de mauvaise qualité
8. Manque d'intégrité des données et du logiciel
9. Carence des systèmes de contrôle et de journalisation
10. Falsification de requête côté serveur

https://owasp.org/www-project-top-ten/

Travail à faire

Préparer un diaporama (environ 10 diapositives)

  1. Expliquer en détails le principe de l'attaque et comment se protéger
  2. Créer un exemple concret d'une application Web vulnérable à cette attaque (version n°1 de la démo) :
    • Fournir le code source de la version n°1
    • Faire une démonstration de l'attaque et montrer les conséquences (démo n°1)
    • Expliquer les étapes de l'attaque
  3. Montrer comment corriger la vulnérabilité (version n°2 de la démo) :
    • Fournir le code source de la version n°2
    • Faire une démonstration que l'application Web n'est plus vulnérable (démo n°2)
    • Expliquer le principe de la correction
  4. Faire une conclusion (risques liés à cette vulnérabilité, code de bonne conduite, bonnes pratiques, etc)

Evaluation

  • Date de l'évaluation : délai de 15 jours

  • Après le passage à l'oral, fournir :

    • le fichier du diaporama (Powerpoint ou URL)
    • le fichier ZIP avec le code source de la version vulnérable et de la version corrigée
  • Grille d'évaluation

    Critères d'évaluationInsuffisantMoyenBonExcellent
    Compréhension du principe d'attaquePrincipe d'attaque mal compris ou non expliqué.Principe d'attaque expliqué mais manque de détails ou de précision.Principe d'attaque bien expliqué avec quelques détails.Principe d'attaque très bien expliqué, détaillé et précis.
    Application Web vulnérable (version n°1)Code source non fourni ou incomplet. Démonstration de l'attaque inexistante ou ratée.Code source fourni mais incomplet ou peu clair. Démonstration de l'attaque réussie mais peu détaillée.Code source complet et assez clair. Démonstration de l'attaque réussie et suffisamment détaillée.Code source complet, bien structuré et clair. Démonstration de l'attaque réussie, détaillée et convaincante.
    Explication de l'attaqueExplication de l'attaque mal comprise ou non expliquée.Explication de l'attaque expliquée mais manque de détails ou de précision.Explication de l'attaque bien expliquée avec quelques détails.Explication de l'attaque très bien expliquée, détaillée et précise.
    Correction de la vulnérabilité (version n°2)Code source non fourni ou incomplet. Démonstration de la correction inexistante ou ratée.Code source fourni mais incomplet ou peu clair. Démonstration de la correction réussie mais peu détaillée.Code source complet et assez clair. Démonstration de la correction réussie et suffisamment détaillée.Code source complet, bien structuré et clair. Démonstration de la correction réussie, détaillée et convaincante.
    Explication de la correctionExplication de la correction mal comprise ou non expliquée.Explication de la correction expliquée mais manque de détails ou de précision.Explication de la correction bien expliquée avec quelques détails.Explication de la correction très bien expliquée, détaillée et précise.
    Conclusion (bonnes pratiques)Conclusion absente ou hors sujet.Conclusion présente mais peu détaillée ou partiellement en lien avec le sujet.Conclusion bien formulée, en lien avec le sujet et avec quelques détails.Conclusion excellente, parfaitement en lien avec le sujet et très détaillée.
    Qualité du diaporamaDiaporama non fourni ou incomplet. Peu ou pas d'illustrations. Mauvaise organisation.Diaporama complet mais peut être amélioré. Quelques illustrations. Organisation acceptable.Diaporama bien fait et complet. Bonne utilisation des illustrations. Bonne organisation.Diaporama excellent, très complet. Utilisation optimale des illustrations. Organisation impeccable.
    Respect du délaiTravail rendu en retard.Travail rendu juste à temps, sans anticipation.Travail rendu dans les temps avec un peu d'anticipation.Travail rendu bien avant la date limite, preuve d'une bonne gestion du temps.

owasp_grille_evaluation.pdf

Tirage au sort des étudiants

  • Pour chaque étudiant, par ordre alphabétique
  • Tirage au sort du n° de la vulnérabilité dans le Top 10 (Importer une liste + Tirer au sort)
  • soit N le nombre d'étudiants dans le groupe SLAM
  • tirage au sort de la vulnérabilité parmi les N premières du Top 10
  • si N > 10 => présenter en binôme
astuce

Pendant que vous préparez votre présentation orale, nous allons réviser le protocole TCP/IP (OPS - TCP/IP).

Message
Objet : CYBER - OWASP - EVALUATION de la présentation orale - Grille d'évaluation
-------------------------------------------------------------------------------------
Bonjour,

Pour rappel, vous avez une présentation orale à préparer pour le mardi XXXXXXXXXX.

Préparer un diaporama (environ 10 diapositives)

1) Expliquer en détails le principe de l'attaque et comment se protéger
2) Créer un exemple concret d'une application Web vulnérable à cette attaque *(version n°1 de la démo)* :
- Fournir le code source de la version n°1
- Faire une démonstration de l'attaque et montrer les conséquences (démo n°1)
- Expliquer les étapes de l'attaque
3) Montrer comment corriger la vulnérabilité *(version n°2 de la démo)* :
- Fournir le code source de la version n°2
- Faire une démonstration que l'application Web n'est plus vulnérable (démo n°2)
- Expliquer le principe de la correction
4) Faire une conclusion (risques liés à cette vulnérabilité, code de bonne conduite, bonnes pratiques, etc)

Après le passage à l'oral, il vous est demandé de fournir :
- le fichier du diaporama (Powerpoint ou URL)
- le fichier ZIP avec le code source de la version vulnérable et de la version corrigée

Vous trouverez ci-joint la grille d'évaluation de la présentation orale, des 2 démonstrations et des 2 documents.

Les documents sont à déposer dans le CahierDeTexte d'EcoleDirecte à la date du mardi XXXXXXXXXX.

Cordialement.

M. Bouquet
CahierDeTexte
Travail à faire : 

Préparer un diaporama (environ 10 diapositives)

1) Expliquer en détails le principe de l'attaque et comment se protéger
2) Créer un exemple concret d'une application Web vulnérable à cette attaque *(version n°1 de la démo)* :
- Fournir le code source de la version n°1
- Faire une démonstration de l'attaque et montrer les conséquences (démo n°1)
- Expliquer les étapes de l'attaque
3) Montrer comment corriger la vulnérabilité *(version n°2 de la démo)* :
- Fournir le code source de la version n°2
- Faire une démonstration que l'application Web n'est plus vulnérable (démo n°2)
- Expliquer le principe de la correction
4) Faire une conclusion (risques liés à cette vulnérabilité, code de bonne conduite, bonnes pratiques, etc)

Après le passage à l'oral, il vous est demandé de déposer dans le CahierDeTexte d'EcoleDirecte, à la date du mardi XXXXXXXXXX :
- le fichier du diaporama (Powerpoint ou URL)
- le fichier ZIP avec le code source de la version vulnérable et de la version corrigée