Le réseau ARAMIS (http://aramis.resinfo.org) a organisé sa 7ème journée annuelle le 2 avril 2015 à l'ENS de Lyon sur la Sécurité des serveurs et des applications.

La multiplication des solutions de type “logiciels en tant que service” (SaaS) comme gmail, google doc, dropbox… “gratuitement” utilisables entraîne une pression accrue des utilisateurs de nos entités pour disposer d'applications aussi largement accessibles, et donc souvent basées sur les technologies et applications Web. De ce fait, nos serveurs et nos applications sont davantage exposés et attaqués. Cette journée sera orientée sur les moyens, les outils et les techniques que les administrateurs systèmes et réseaux et les développeurs peuvent employer pour tester et améliorer la robustesse de leurs configurations et de leurs applications.

Mots clés : piratage, intrusion, réseau, serveur, injection, xss, CSRF, logs, audit, tests

Programme

Nouveauté : Lightning talks (courtes présentations sur la sécurité de 5 min, 1-2 transparents, inscription dès à présent en écrivant aux organisateurs à l'adresse comite.aramis[at]listes.resinfo.org ou le matin même dans la salle).

Cette journée a été vidéo-diffusée par la cellule Webcast du CC-IN2P3, toutes les vidéos sont disponibles sur le Webcast IN2P3.

Matin 9h00-9h30 Accueil
9h30-9h40 Introduction – Présentation ARAMIS et Hommage à Gérard Lasseur
Vidéo
B. Montbroussous - CNRS / GATE + E. Giroux, directeur de l'UMPA
9h40-9h45 Présentation du Centre Centre Blaise Pascal
Slides Vidéo
E. Quemener - ENS / CBP
9h45-10h25 Exposé : Différentes attaques de sites web : XSS, usurpation de contenu, injections (SQL, caractère nul, commandes, code), CSRF, détournement de session
Slides
Vidéo de l'exposé et des démos
M. Contensin / K. Poutrain - IBDM / LIF - Université Aix-Marseille
10h25-11h05 Démo : Présentation des outils de scan, de collecte, puis démo en live de comment on pirate un site WEB
Slides1 Slides2
Démo video : Cartographier l'application avec ZAP
Utilisation de Nikto
ZAP : scan actif
Injection SQL basée erreur
Injection SQL : UNION
sqlmap
Injection SQL : Et ensuite
M. Contensin / K. Poutrain - IBDM / LIF - Université Aix-Marseille
11h05-11h30 Pause
11h30-12h15 Exposé : Sécurisation des serveurs (fichiers de configuration Apache/PHP sans mod_security)
Slides Vidéo
M. Contensin / K. Poutrain - IBDM / LIF - Université Aix-Marseille
12h15-12h45 Attaques d’applications web, comment se protéger, exemple avec mod security ?
Slides Vidéo
C. Louvard - ENTPE
12h45-13h15 Lightning Talk Mimikatz
Vidéo
William Guyot-Lénat - Université Blaise Pascal / Clermont-Ferrand
Midi 13h15-14h30 Pause repas
Après-midi 14h30-15h00 Intercepter et exploiter les informations qui transitent sur le réseau avec Znets
Slides Vidéo
T. Descombes / J. Fulachier - CNRS / IN2P3 / LPSC
15h00-15h20 Retour d'expérience sur quelques outils d'audit de code en C pour du code accessible par le Web en CGI
aramis2015annec2.pdf Vidéo
A. Cheylus - CNRS / ISC
15h20-15h50 Pause
16h45-17h15 Discussions sur le réseau ARAMIS

Vidéos

Démonstrations vidéo des outils de scan et de collecte

Cartographier l'application avec ZAP

Utilisation de Nikto

ZAP : scan actif

Injection SQL basée erreur

Injection SQL : UNION

sqlmap

Injection SQL : Et ensuite

Démonstration vidéo lightning talk

Mimikatz

pleniaires/pleniere2avril2015.txt · Dernière modification: 2017/07/18 00:26 par denis.pugnere
CC Attribution-Noncommercial-Share Alike 4.0 International
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0