Ce TP donne lieu à un rapport à déposer sur AMETICE pour le 6 novembre.
1. Environnement de TP
1.1. Installation
Soit utiliser la VDI de l’université, soit installer, si ce n’est déjà fait,
vagrant
- >= 2.0 et < 2.3 Il peut être installé depuis votre gestionnaire de logiciels ou le site de vagrant
virtualbox
- >= 6.0 Dans votre distribution ou bien voir le site de VirtualBox.
1.2. Documentation
En utilisant la box suivante sous le nom de fsi-tp
vagrant box add /chemin/vers/fsi-tp.box --name "fsi-tp"
(re)voir le TP0 de Master 1, en particulier, si vous êtes sur votre compte AMU (sauf si votre quota le permet), vous devez faire
VBoxManage setproperty machinefolder "/tmp"
2. Audit de Site Web Sécurisé
2.1. Mise en place
Télécharger l’archive et démarrer l’ensemble des VMs avec la commande
./startAll.sh
Cela prend un peu temps. En attendant, vous allez créer la VM client
.
$ ./demarreVM.sh client
Rappel: Le répertoire local est monté sur /vagrant
dans la VM.
2.2. Audit en boîte noire
Visiter et auditer les sites suivants
Vous pouvez utiliser (et comparer)
wireshark
, installé surclient
openssl s_client -connect HOSTNAME:PORT -prexit -showcerts -state -status -tlsextdebug -verify 10
testssl.sh
, voir la doc.testssl
est-il un scanner passif ou offensif ?
2.3. Audit en boîte blanche
Consulter les fichiers de configuration serveur.conf
de chaque VM dans les répertoires correspondants.
Rappel: vous pouvez accéder aux VMs en faisant vagrant ssh
.
Si vous souhaitez avoir une interface graphique pour les autres VMs, il faudra décommenter vb.gui = true
dans les
Vagrantfile
correspondants.
3. Bonnes pratiques
Référencer les bonnes pratiques de durcissement de sécurité d’un site web en https. Implémenter-les sur un site apache demo.