Ce TP donne lieu à un rapport individuel à déposer sur AMETICE.

1. Environnement de TP

1.1. Installation

Installer, si ce n’est déjà fait,

vagrant

>= 1.8.1 ( > 2.0 si virtualbox en version >= 5.2 ) Il peut être installé depuis le site de vagrant

virtualbox

>= 5.1 Dans votre distribution ou bien voir le site de VirtualBox.

1.2. Documentation

En utilisant la box suivante sous le nom de fsi-tp

vagrant box add /chemin/vers/fsi-tp.box --name "fsi-tp"

(re)voir le TP0 de Master 1, en particulier, si vous êtes sur votre compte AMU (avec un quota de 5Go), vous devez faire

VBoxManage setproperty machinefolder "/tmp"

2. Audit de Site Web Sécurisé

2.1. Mise en place

Télécharger l’archive et démarrer l’ensemble des VMs avec la commande

./startAll.sh

Cela prend un peu temps. En attendant, vous allez créer la VM client.

$ ./demarreVM.sh client

Rappel: Le répertoire local est monté sur /vagrant dans la VM.

2.2. Audit en boîte noire

Visiter et auditer les sites suivants

• zero
• un
• deux
• trois
• quatre

Vous pouvez utiliser (et comparer)

• wireshark, installé sur client
• openssl s_client -connect HOSTNAME:PORT -prexit -showcerts -state -status -tlsextdebug -verify 10
• testssl.sh, voir la doc. testssl est-il un scanner passif ou offensif ?

2.3. Audit en boîte blanche

Consulter les fichiers de configuration serveur.conf de chaque VM dans les répertoires correspondants.

Rappel: si vous souhaitez avoir une interface graphique pour les autres VMs, il faudra décommenter vb.gui = true dans les Vagrantfile correspondants.

3. Bonnes pratiques

Référencer les bonnes pratiques de durcissement de sécurité d’un site web en https. Implémenter-les sur un site apache demo.