1. Environnement de TP

1.1. Installation

Soit utiliser la VDI de l’université, soit installer, si ce n’est déjà fait,

vagrant: >= 2.0 et < 2.3 Il peut être installé depuis votre gestionnaire de logiciels ou le site de vagrant
virtualbox: >= 6.0 Dans votre distribution ou bien voir le site de VirtualBox.

1.2. Documentation

En utilisant la box suivante sous le nom de fsi-tp

vagrant box add /chemin/vers/fsi-tp.box --name "fsi-tp"

(re)voir le TP0 de Master 1, en particulier, si vous êtes sur votre compte AMU (sauf si votre quota le permet), vous devez faire

VBoxManage setproperty machinefolder "/tmp"

2. Audit de Site Web Sécurisé

2.1. Mise en place

Télécharger l’archive et démarrer l’ensemble des VMs avec la commande

./startAll.sh

Cela prend un peu temps. En attendant, vous allez créer la VM client.

$ ./demarreVM.sh client

Rappel: Le répertoire local est monté sur /vagrant dans la VM.

2.2. Audit en boîte noire

Visiter et auditer les sites suivants

Vous pouvez utiliser (et comparer)

wireshark, installé sur client
openssl s_client -connect HOSTNAME:PORT -prexit -showcerts -state -status -tlsextdebug -verify 10
testssl.sh, voir la doc. testssl est-il un scanner passif ou offensif ?

2.3. Audit en boîte blanche

Consulter les fichiers de configuration serveur.conf de chaque VM dans les répertoires correspondants.

Rappel: vous pouvez accéder aux VMs en faisant vagrant ssh. Si vous souhaitez avoir une interface graphique pour les autres VMs, il faudra décommenter vb.gui = true dans les Vagrantfile correspondants.

3. Bonnes pratiques

Référencer les bonnes pratiques de durcissement de sécurité d’un site web en https. Implémenter-les sur un site apache demo.