| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteDernière révisionLes deux révisions suivantes |
| pleniaires:pleniere2avril2015 [2015/04/07 16:19] – [Programme] fconil | pleniaires:pleniere2avril2015 [2015/04/08 07:53] – fconil |
|---|
| |
| Le réseau ARAMIS (http://aramis.resinfo.org) organise sa 7ème journée annuelle le **2 avril 2015** à l'ENS de Lyon sur la **Sécurité des serveurs et des applications**. | Le réseau ARAMIS (http://aramis.resinfo.org) a organisé sa 7ème journée annuelle le **2 avril 2015** à l'ENS de Lyon sur la **Sécurité des serveurs et des applications**. |
| |
| La multiplication des solutions de type "logiciels en tant que service" (SaaS) comme gmail, google doc, dropbox... "gratuitement" utilisables entraîne une pression accrue des utilisateurs de nos entités pour disposer d'applications aussi largement accessibles, et donc souvent basées sur les technologies et applications Web. De ce fait, nos serveurs et nos applications sont davantage exposés et attaqués. Cette journée sera orientée sur les moyens, les outils et les techniques que les administrateurs systèmes et réseaux et les développeurs peuvent employer pour tester et améliorer la robustesse de leurs configurations et de leurs applications. | La multiplication des solutions de type "logiciels en tant que service" (SaaS) comme gmail, google doc, dropbox... "gratuitement" utilisables entraîne une pression accrue des utilisateurs de nos entités pour disposer d'applications aussi largement accessibles, et donc souvent basées sur les technologies et applications Web. De ce fait, nos serveurs et nos applications sont davantage exposés et attaqués. Cette journée sera orientée sur les moyens, les outils et les techniques que les administrateurs systèmes et réseaux et les développeurs peuvent employer pour tester et améliorer la robustesse de leurs configurations et de leurs applications. |
| |
| ====== Programme ====== | ====== Programme ====== |
| | |
| <note tip> | <note tip> |
| **Nouveauté** : **Lightning talks** (courtes présentations sur la sécurité de 5 min, 1-2 transparents, inscription dès à présent en écrivant aux organisateurs à l'adresse comite.aramis[at]listes.resinfo.org ou le matin même dans la salle). | **Nouveauté** : **Lightning talks** (courtes présentations sur la sécurité de 5 min, 1-2 transparents, inscription dès à présent en écrivant aux organisateurs à l'adresse comite.aramis[at]listes.resinfo.org ou le matin même dans la salle). |
| | ::: ^ 9h40-9h45 | Présentation du Centre Centre Blaise Pascal\\ {{:pleniaires:presentation_cbp.pdf|Slides}} [[http://webcast.in2p3.fr/videos-aramis-2015presentation-du-centre-blaise-pascal|Vidéo]] | E. Quemener - ENS / CBP | | | ::: ^ 9h40-9h45 | Présentation du Centre Centre Blaise Pascal\\ {{:pleniaires:presentation_cbp.pdf|Slides}} [[http://webcast.in2p3.fr/videos-aramis-2015presentation-du-centre-blaise-pascal|Vidéo]] | E. Quemener - ENS / CBP | |
| | ::: ^ 9h45-10h25 | Exposé : Différentes attaques de sites web : XSS, usurpation de contenu, injections (SQL, caractère nul, commandes, code), CSRF, détournement de session\\ {{:pleniaires:01_aramis_typologie_v2.pdf|Slides}}\\ [[http://webcast.in2p3.fr/videos-differentes-attaques-de-sites-web|Vidéo de l'exposé et des démos]] | M. Contensin / K. Poutrain - IBDM / LIF - Université Aix-Marseille | | | ::: ^ 9h45-10h25 | Exposé : Différentes attaques de sites web : XSS, usurpation de contenu, injections (SQL, caractère nul, commandes, code), CSRF, détournement de session\\ {{:pleniaires:01_aramis_typologie_v2.pdf|Slides}}\\ [[http://webcast.in2p3.fr/videos-differentes-attaques-de-sites-web|Vidéo de l'exposé et des démos]] | M. Contensin / K. Poutrain - IBDM / LIF - Université Aix-Marseille | |
| | ::: ^ 10h25-11h05 | Démo : Présentation des outils de scan, de collecte, puis démo en live de comment on pirate un site WEB\\ {{:pleniaires:02_aramis_attaques.pdf|Slides1}} {{:pleniaires:02_aramis_injectionssql.pdf|Slides2}}\\ [[pleniaires:pleniere2avril2015#cartographier_l_application_avec_zap|Démo video : Cartographier l'application avec ZAP]] | M. Contensin / K. Poutrain - IBDM / LIF - Université Aix-Marseille | | | ::: ^ 10h25-11h05 | Démo : Présentation des outils de scan, de collecte, puis démo en live de comment on pirate un site WEB\\ {{:pleniaires:02_aramis_attaques.pdf|Slides1}} {{:pleniaires:02_aramis_injectionssql.pdf|Slides2}}\\ ⇒ [[pleniaires:pleniere2avril2015#cartographier_l_application_avec_zap|Démo video : Cartographier l'application avec ZAP]]\\ ⇒ [[pleniaires:pleniere2avril2015&#utilisation_de_nikto|Utilisation de Nikto]]\\ ⇒ [[pleniaires:pleniere2avril2015&#zapscan_actif|ZAP : scan actif]]\\ ⇒ [[pleniaires:pleniere2avril2015&#injection_sql_basee_erreur|Injection SQL basée erreur]]\\ ⇒ [[pleniaires:pleniere2avril2015&#injection_sqlunion|Injection SQL : UNION]]\\ ⇒ [[pleniaires:pleniere2avril2015&#sqlmap|sqlmap]]\\ ⇒ [[pleniaires:pleniere2avril2015&#injection_sqlet_ensuite|Injection SQL : Et ensuite]] | M. Contensin / K. Poutrain - IBDM / LIF - Université Aix-Marseille | |
| | ::: ^ 11h05-11h30 | Pause || | | ::: ^ 11h05-11h30 | Pause || |
| | ::: ^ 11h30-12h15 | Exposé : Sécurisation des serveurs (fichiers de configuration Apache/PHP sans mod_security)\\ {{:pleniaires:03_aramis_sec_serveurs_v2.6.pdf|Slides}} [[http://webcast.in2p3.fr/videos-securisation-des-serveurs|Vidéo]] | M. Contensin / K. Poutrain - IBDM / LIF - Université Aix-Marseille | | | ::: ^ 11h30-12h15 | Exposé : Sécurisation des serveurs (fichiers de configuration Apache/PHP sans mod_security)\\ {{:pleniaires:03_aramis_sec_serveurs_v2.6.pdf|Slides}} [[http://webcast.in2p3.fr/videos-securisation-des-serveurs|Vidéo]] | M. Contensin / K. Poutrain - IBDM / LIF - Université Aix-Marseille | |
| |
| {{:pleniaires:01-aramis-cartographie.mp4|Cartographier l application avec ZAP}} | {{:pleniaires:01-aramis-cartographie.mp4|Cartographier l application avec ZAP}} |
| | |
| | ==== Utilisation de Nikto ==== |
| | |
| | {{:pleniaires:02-aramis_nikto.mp4|}} |
| | |
| | ==== ZAP : scan actif ==== |
| | |
| | {{:pleniaires:03-aramis-activescan.mp4|}} |
| | |
| | ==== Injection SQL basée erreur ==== |
| | |
| | {{:pleniaires:04-aramis-sql-1.mp4|}} |
| | |
| | ==== Injection SQL : UNION ==== |
| | |
| | {{:pleniaires:05-aramis-sql-2.mp4|}} |
| | |
| | ==== sqlmap ==== |
| | |
| | {{:pleniaires:06-aramis-sql-4.mp4|}} |
| | |
| | ==== Injection SQL : Et ensuite ==== |
| | |
| | {{:pleniaires:07-aramis-sql-5.mp4|}} |
| | |
| | ===== Démonstration vidéo lightning talk ===== |
| | |
| | ==== Mimikatz ==== |
| | |
| |
