<!-- If the browser does not support frames put the first topic content here --> <div class="WordSection1"> <p class="titredocument"><span style= 'font-size:15.0pt'>OWASP : Présentation de la plateforme d'apprentissage</span></p> <p class="MsoNormal"><span style= 'font-size:15.0pt'> </span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200058">I<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Architecture générale<span style= 'color:navy;text-decoration:none'>..........................................................................................</span> <span style= 'color:navy;text-decoration:none'>1</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200059">II<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Les machines<span style= 'color:navy; text-decoration:none'>.....................................................................................................</span> <span style= 'color:navy;text-decoration:none'>2</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200060">1<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Description des machines<span style= 'color:navy;text-decoration:none'>................................................................................</span> <span style= 'color:navy;text-decoration:none'>2</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200061">2<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Mise à jour des paquets<span style= 'color:navy;text-decoration:none'>...................................................................................</span> <span style= 'color:navy;text-decoration:none'>2</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200062">III<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Préparation de Mutillidae<span style= 'color:navy;text-decoration:none'>.....................................................................................</span> <span style= 'color:navy;text-decoration:none'>2</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200063">1<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Présentation de Mutillidae<span style= 'color:navy;text-decoration:none'>................................................................................</span> <span style= 'color:navy;text-decoration:none'>2</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200064">2<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Installation de Mutillidae<span style= 'color:navy;text-decoration:none'>...................................................................................</span> <span style= 'color:navy;text-decoration:none'>3</span></a></span></p> <p class="MsoToc6"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200065">2.1<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Installation<span style= 'color:navy; text-decoration:none'>.............................................................................................</span> <span style= 'color:navy;text-decoration:none'>3</span></a></span></p> <p class="MsoToc6"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200066">2.2<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Initialisation de la configuration<span style= 'color:navy;text-decoration:none'>...............................................................</span> <span style= 'color:navy;text-decoration:none'>4</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200067">IV<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Préparation de BurpSuite<span style= 'color:navy;text-decoration:none'>.................................................................................</span> <span style= 'color:navy;text-decoration:none'>5</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200068">1<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Présentation de BurpSuite<span style= 'color:navy;text-decoration:none'>................................................................................</span> <span style= 'color:navy;text-decoration:none'>5</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200069">2<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Installation de BurpSuite (version gratuite)<span style= 'color:navy;text-decoration:none'>........................................................</span> <span style= 'color:navy;text-decoration:none'>5</span></a></span></p> <p class="MsoToc6"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200070">2.1<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Installation<span style= 'color:navy; text-decoration:none'>.............................................................................................</span> <span style= 'color:navy;text-decoration:none'>5</span></a></span></p> <p class="MsoToc6"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200071">2.2<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Configuration du navigateur (à controler sur chaque poste)<span style= 'color:navy;text-decoration:none'>......................</span> <span style= 'color:navy;text-decoration:none'>6</span></a></span></p> <p class="MsoToc6"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200072">2.3<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Première capture de paquet (à tester)<span style= 'color:navy;text-decoration:none'>.....................................................</span> <span style= 'color:navy;text-decoration:none'>7</span></a></span></p> <p class="MsoToc4"> </p> <p class="MsoNormal"><span style= 'font-size:15.0pt'> </span></p> <h4><a name="_Toc96200058"><span style= 'font-size:15.0pt'>I<span style= 'font:7.0pt "Times New Roman"'> </span></span> <span style='font-size:15.0pt'>Architecture générale</span></a></h4> <p class="MsoNormal"><a name= "__RefHeading___Toc4741_3472932569"></a> </p> <p class="MsoNormal">L'objectif est d'utiliser les outils de la plateforme de test dans les différentes activités, afin de mettre en évidence la vulnérabilité des applications Web.</p> <p class="MsoNormal"> </p> <p class="MsoNormal">Voici le schéma final :</p> <p class="MsoNormal"></p> <table cellpadding="0" cellspacing="0"> <tr> <td width="132" height="0"></td> </tr> <tr> <td></td> <td><img width="426" height="230" src= "owasp-mise_en_place-v1.1_fichiers/image001.gif" alt= "image" /></td> </tr> </table> <br clear="all" /> <b>192.168.1.11 (par exemple) 192.168.1.12 (par exemple)</b> <p class="MsoNormal"> </p> <p class="MsoNormal">Deux machines sont donc utilisées : une machine servant pour l’attaque et une autre machine servant de serveur web cible à attaquer.</p> <p class="MsoNormal"> </p> <p class="MsoNormal" style='margin-bottom:2.85pt'><b><span style= 'font-family: "DejaVu Sans",sans-serif'>➜</span>La machine attaquante :</b></p> <p class="MsoNormal">Elle dispose d’un environnement graphique de bureau avec un navigateur. Le proxy BurpSuite y est installé. Le navigateur est configuré pour faire transiter les requêtes par le proxy BurpSuite.</p> <p class="MsoNormal"> </p> <p class="MsoNormal" style='margin-bottom:2.85pt'><b><span style= 'font-family: "DejaVu Sans",sans-serif'>➜</span> La machine cible :</b></p> <p class="MsoNormal">Il s’agit du serveur web, hébergeant l’application web cible Mutillidae. L’application Mutillidae comporte des pages web vulnérables aux attaques. Elles sont étudiées dans les différents ateliers.</p> <span style= 'font-size:10.0pt;font-family:"Arial",sans-serif;color:navy'><br clear="all" style='page-break-before:always' /></span> <p class="MsoNormal"><span style='color:#006600'> </span></p> <h4 style='text-indent:0cm'><span style= 'font-size:10.0pt;font-weight:normal'> </span></h4> <h4><a name="_Toc96200059">II<span style= 'font:7.0pt "Times New Roman"'> </span> Les machines</a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200060">1<span style= 'font:7.0pt "Times New Roman"'> </span> Description des machines</a></h5> <p class="MsoNormal">Deux machines virtuelles sont donc utilisées, une 1ère servant à héberger le serveur Mutillidae et une seconde faisant office de client et contenant Burpsuite et d’autres outils nécessaires à l'exécution des <b>défis</b>.</p> <p class="MsoNormal"> </p> <p class="MsoNormal">Ces 2 machines virtuelles ont été installées à l'aide de l’outil de virtualisation VirtualBox.</p> <p class="MsoNormal"> </p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style='border-collapse:collapse'> <tr> <td width="202" valign="top" style= 'width:151.15pt;border:solid black 1.0pt; border-right:none;background:#9999FF;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal" align="center" style='text-align:center'> MACHINES</p> </td> <td width="202" valign="top" style= 'width:151.15pt;border:solid black 1.0pt; border-right:none;background:#9999FF;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal" align="center" style='text-align:center'> RÔLES</p> </td> <td width="202" valign="top" style= 'width:151.2pt;border:solid black 1.0pt; background:#9999FF;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal" align="center" style='text-align:center'> ADRESSES IP</p> </td> </tr> <tr> <td width="202" valign="top" style= 'width:151.15pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal" align="center" style='text-align:center'> Serveur Debian</p> </td> <td width="202" valign="top" style= 'width:151.15pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal" align="left" style='text-align:left'>Serveur web hébergeant la plateforme Mutillidae.</p> </td> <td width="202" valign="top" style= 'width:151.2pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal" align="center" style='text-align:center'> 192.168.1.11/24</p> </td> </tr> <tr> <td width="202" valign="top" style= 'width:151.15pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal" align="center" style='text-align:center'> </p> <p class="MsoNormal" align="center" style='text-align:center'> Client Debian</p> </td> <td width="202" valign="top" style= 'width:151.15pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal" align="left" style='text-align:left'>Machine disposant des outils permettant de réaliser les attaques (navigateur, BurpSuite…).</p> </td> <td width="202" valign="top" style= 'width:151.2pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal" align="center" style='text-align:center'> </p> <p class="MsoNormal" align="center" style='text-align:center'> 192.168.1.12/24</p> </td> </tr> </table> <p class="MsoNormal"> </p> <p class="MsoNormal">Mutillidae est installé sur une machine de type Debian 9.</p> <p class="MsoNormal"> </p> <p class="MsoNormal">La machine cliente est également une machine de type Debian 9. Elle dispose d'un bureau et d'un navigateur de type Firefox. L'installation des outils présentés aurait pu se faire sur d'autres distributions. Kali par exemple, qui intègre de nombreux logiciels permettant de faire des tests de pénétration.</p> <p class="MsoNormal"> </p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200061">2<span style= 'font:7.0pt "Times New Roman"'> </span> Mise à jour des paquets</a></h5> <p class="MsoNormal">Sur les deux machines, la mise à jour des paquets a été réalisée avec la commande suivante :</p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style='border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal"><i>#apt update && apt upgrade</i></p> </td> </tr> </table> <p class="MsoNormal"> </p> <p class="MsoNormal"> </p> <h4><a name="_Toc96200062">III<span style= 'font:7.0pt "Times New Roman"'> </span> Préparation de Mutillidae</a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200063">1<span style= 'font:7.0pt "Times New Roman"'> </span> Présentation de Mutillidae</a></h5> <p class="MsoNormal">Mutillidae est une plateforme pédagogique mise en place par le groupe OWASP (Open Web Application Security Project) qui permet d'étudier les attaques associées aux applications web. Il s'agit de scripts PHP destinés à se familiariser avec les technologies web (protocole HTTP, AJAX…) et aux vulnérabilités qui en découlent.</p> <p class="MsoNormal"> </p> <p class="MsoNormal">Cet enseignement se fait à travers plusieurs activités qui ciblent chaque problème de sécurité du TOP10 d’OWASP (injection SQL, XSS, manipulation des en-têtes HTTP, vol de session…). Chaque activité donne accès à une page comportant un défi que l'utilisateur doit accomplir. Les scripts sont disponibles en version non sécurisée afin de tester les vulnérabilités. Des versions sécurisées permettent de vérifier que les attaques échouent avec un minimum de contrôles sur les données saisies dans les formulaires.</p> <p class="MsoNormal">Dans l’activité 1, seule la partie sur la notion d’injection est testée.</p> <p class="MsoNormal"> </p> <p class="MsoNormal"><img width="605" height="32" src= "owasp-mise_en_place-v1.1_fichiers/image002.jpg" align="left" alt= "image" /></p> <span style= 'font-size:10.0pt;font-family:"Arial",sans-serif;color:navy'><br clear="all" style='page-break-before:always' /></span> <p class="MsoNormal"> </p> <p class="MsoNormal"> </p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200064">2<span style= 'font:7.0pt "Times New Roman"'> </span> Installation de Mutillidae</a></h5> <h6 style='margin-left:68.05pt;text-indent:-34.05pt'><a name= "_Toc96200065">2.1<span style= 'font:7.0pt "Times New Roman"'> </span> Installation</a></h6> <p class="MsoNormal"> </p> <p class="MsoNormal">L'installation a été faite <b>sur le serveur Debian 9</b> grâce aux manipulations suivantes :</p> <p class="MsoNormal"> </p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style='border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal">#apt install php7.0-xml libapache2-mod-php php-mysql mysql-server apache2 apache2-utils php-xml php-gd php-imap php-gettext php-curl zip</p> </td> </tr> </table> <p class="MsoNormal"> </p> <p class="MsoNormal">Ces commandes ont permis d’installer Apache, MySQL serveur, PHP 7 et leurs dépendances.</p> <p class="MsoNormal"> </p> <p class="MsoNormal" style='margin-bottom:2.85pt'>Un utilisateur spécifique a été créé, de la façon suivante, dans MySQL pour l’application Mutillidae :</p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style='border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal">#mysql</p> </td> </tr> </table> <p class="MsoNormal"> </p> <p class="MsoNormal" style='margin-bottom:2.85pt'>Une fois la console Mysql/MariaDB ouverte, un utilisateur a été créé et des droits lui ont été donné :</p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style='border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal">CREATE USER 'mutillidae'@'localhost' IDENTIFIED BY 'password';</p> <p class="MsoNormal">GRANT ALL PRIVILEGES ON *.* to 'mutillidae'@'localhost';</p> </td> </tr> </table> <p class="MsoNormal"> </p> <p class="MsoNormal" style='margin-bottom:2.85pt'>La commande suivante permet d’appliquer les nouveaux droits :</p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style='border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal">#FLUSH PRIVILEGES;</p> </td> </tr> </table> <p class="MsoNormal"> </p> <p class="MsoNormal"><span style= 'font-family:"DejaVu Sans",sans-serif'>➡</span> <b>Téléchargement et décompression de Mutillidae</b></p> <p class="MsoNormal"> </p> <p class="MsoNormal" style='margin-bottom:2.85pt'>Le téléchargement de <b>la dernière version de Mutillidae</b> a été faite à l'aide de la commande wget :</p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style='border-collapse:collapse'> <tr> <td width="609" valign="top" style= 'width:456.75pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal">wget https://sourceforge.net/projects/mutillidae/files/mutillidae-project/LATEST-mutillidae-2.6.62.zip</p> </td> </tr> </table> <p class="MsoNormal"><b> </b></p> <span style= 'font-size:10.0pt;font-family:"Arial",sans-serif;color:navy'><br clear="all" style='page-break-before:always' /></span> <p class="MsoNormal"><b> </b></p> <p class="MsoNormal"> </p> <h6 style='margin-left:68.05pt;text-indent:-34.05pt'><a name= "_Toc96200066">2.2<span style= 'font:7.0pt "Times New Roman"'> </span> Initialisation de la configuration</a></h6> <h6 style='margin-left:68.05pt;text-indent:0cm'> </h6> <p class="MsoNormal">Via le navigateur de la machine cliente, un 1er test peut être effectué en saisissant dans l'url : <i><ip-nom-serveur>/mutillidae</i>. Il faut donc que la machine hébergeant l’application mutillidae soit démarrée.</p> <p class="MsoNormal"> </p> <p class="MsoNormal" style='margin-bottom:2.85pt'>En cas de page blanche, il faut relancer le serveur apache avec la commande suivante :</p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style='border-collapse:collapse'> <tr> <td width="643" valign="top" style= 'width:482.25pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal">#service apache2 restart</p> </td> </tr> </table> <p class="MsoNormal"> </p> <p class="MsoNormal"><img width="605" height="294" src= "owasp-mise_en_place-v1.1_fichiers/image003.jpg" align="left" alt= "image" /></p> <span style= 'font-size:10.0pt;font-family:"Arial",sans-serif;color:navy'><br clear="all" style='page-break-before:always' /></span> <p class="MsoNormal"> </p> <p class="MsoNormal"> </p> <h4><a name="_Toc96200067">IV<span style= 'font:7.0pt "Times New Roman"'> </span> Préparation de BurpSuite</a></h4> <p class="MsoNormal"> </p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200068">1<span style= 'font:7.0pt "Times New Roman"'> </span> Présentation de BurpSuite</a></h5> <p class="MsoNormal" style='margin-bottom:2.85pt'>BurpSuite est une plateforme qui permet d'effectuer des tests de sécurité sur les applications web. Elle joue le rôle d'un proxy qui se positionne entre le navigateur de l'attaquant et le serveur contenant l'application web à tester. Il capture les requêtes effectuées afin de pouvoir les analyser, les modifier et les rejouer en modifiant les paramètres. Grâce à ces captures, il est alors possible de tester les vulnérabilités comme les injections SQL ou le XSS. BurpSuite incorpore les outils suivants :</p> <p class="MsoNormal" style= 'margin-left:42.5pt;text-indent:-17.0pt'><span style= 'font-family:Wingdings'>v<span style= 'font:7.0pt "Times New Roman"'> </span></span> un proxy qui permet d'intercepter les requêtes entre le navigateur et l'application cible ;</p> <p class="MsoNormal" style= 'margin-left:42.5pt;text-indent:-17.0pt'><span style= 'font-family:Wingdings'>v<span style= 'font:7.0pt "Times New Roman"'> </span></span> un scanner d'applications web ;</p> <p class="MsoNormal" style= 'margin-left:42.5pt;text-indent:-17.0pt'><span style= 'font-family:Wingdings'>v<span style= 'font:7.0pt "Times New Roman"'> </span></span> un outil permettant de découvrir les champs d'une page dans le but de pouvoir les exploiter ;</p> <p class="MsoNormal" style= 'margin-left:42.5pt;text-indent:-17.0pt'><span style= 'font-family:Wingdings'>v<span style= 'font:7.0pt "Times New Roman"'> </span></span> un outil d'intrusion permettant d'effectuer des attaques spécifiques afin d'exploiter certaines vulnérabilités ;</p> <p class="MsoNormal" style= 'margin-left:42.5pt;text-indent:-17.0pt'><span style= 'font-family:Wingdings'>v<span style= 'font:7.0pt "Times New Roman"'> </span></span> un outil de répétition permettant la modification avant envoi des requêtes ;</p> <p class="MsoNormal" style= 'margin-left:42.5pt;text-indent:-17.0pt'><span style= 'font-family:Wingdings'>v<span style= 'font:7.0pt "Times New Roman"'> </span></span> un séquenceur pour tester la randomisation des sessions.</p> <p class="MsoNormal"> </p> <p class="MsoNormal"><img width="460" height="169" src= "owasp-mise_en_place-v1.1_fichiers/image004.jpg" align="left" alt= "image" /></p> <p class="MsoNormal">BurpSuite est donc un excellent outil pour relever les défis de Mutillidae.</p> <p class="MsoNormal"><img width="26" height="26" src= "owasp-mise_en_place-v1.1_fichiers/image005.jpg" align="left" alt= "image" /></p> <p class="MsoNormal">Burpsuite sera nécessaire uniquement lors de certaines activités.</p> <p class="MsoNormal"> </p> <p class="MsoNormal"> </p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200069">2<span style= 'font:7.0pt "Times New Roman"'> </span> Installation de BurpSuite (version gratuite)</a></h5> <h6 style='margin-left:68.05pt;text-indent:-34.05pt'><a name= "_Toc96200070">2.1<span style= 'font:7.0pt "Times New Roman"'> </span> Installation</a></h6> <p class="MsoNormal">L'installation de la version gratuite a été faite sur la machine cliente sous Debian 9 grâce aux manipulations suivantes :</p> <p class="MsoNormal"> </p> <p class="MsoNormal" style='margin-bottom:2.85pt'>Le téléchargement a été fait via le lien suivant en utilisant un navigateur :</p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style='border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal"> <i>portswigger.net/burp</i></p> </td> </tr> </table> <p class="MsoNormal"> </p> <p class="MsoNormal" style='margin-bottom:2.85pt'>Le script téléchargé a été rendu exécutable :</p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style='border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal"><i>chmod +x burpsuite_community_linux_v1_7_32.sh</i></p> </td> </tr> </table> <p class="MsoNormal"> </p> <p class="MsoNormal" style='margin-bottom:2.85pt'>Lancement de l'installation :</p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style='border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="MsoNormal"><i>sh burpsuite_community_linux_v1_7_32.sh</i></p> </td> </tr> </table> <span style= 'font-size:10.0pt;font-family:"Arial",sans-serif;color:navy'><br clear="all" style='page-break-before:always' /></span> <p class="MsoNormal"> </p> <p class="MsoNormal"> </p> <h6 style='margin-left:68.05pt;text-indent:-34.05pt'><a name= "_Toc96200071">2.2<span style= 'font:7.0pt "Times New Roman"'> </span> Configuration du navigateur (à controler sur chaque poste)</a></h6> <p class="MsoNormal"> </p> <p class="MsoNormal">Pour utiliser Burpsuite, le navigateur a été configuré, sur la machine cliente, pour l’utiliser en tant que proxy. Avec Firefox, il faut atteindre les paramètres puis les options avancées de configuration.</p> <p class="MsoNormal"> </p> <p class="MsoNormal">Puis, dans l'onglet réseau, il faut cliquer sur paramètres et faire référence au proxy BurpSuite. L'écoute se fait sur le port 8080.</p> <p class="MsoNormal"> </p> <p class="MsoNormal"> </p> <p class="MsoNormal">Ensuite, il faut indiquer l’adresse de bouclage 127.0.0.1 ainsi que le port d'écoute 8080.</p> <p class="MsoNormal"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="16" height="0"></td> </tr> <tr> <td></td> <td><img width="493" height="149" src= "owasp-mise_en_place-v1.1_fichiers/image006.jpg" alt= "image" /></td> </tr> </table> <br clear="all" /> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="251" height="1045"></td> <td width="121"></td> <td width="115"></td> <td width="147"></td> </tr> <tr> <td height="48"></td> <td align="left" valign="top"><img width="97" height="38" src= "owasp-mise_en_place-v1.1_fichiers/image007.gif" alt= "image" /></td> </tr> <tr> <td height="36"></td> </tr> <tr> <td height="54"></td> <td colspan="2"></td> <td align="left" valign="top"><img width="118" height="43" src= "owasp-mise_en_place-v1.1_fichiers/image008.gif" alt= "image" /></td> </tr> </table> <p class="MsoNormal"> </p> <p class="MsoNormal"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="119" height="0"></td> </tr> <tr> <td></td> <td><img width="401" height="276" src= "owasp-mise_en_place-v1.1_fichiers/image009.jpg" alt= "image" /></td> </tr> </table> <br clear="all" /> <br clear="all" style='page-break-before:always' /> <p class="MsoNormal"> </p> <br clear="all" /> <h6 style='margin-left:68.05pt;text-indent:-34.05pt'><a name= "_Toc96200072">2.3<span style= 'font:7.0pt "Times New Roman"'> </span> Première capture de paquet (à tester)</a></h6> <p class="MsoNormal"> </p> <p class="MsoNormal">Démarrer BurpSuite (Cliquer sur Activités et saisir BurpSuite dans la barre de recherche).</p> <p class="MsoNormal"> </p> <p class="MsoNormal">Il faut ensuite cliquer sur <i>temporary project.,</i></p> <p class="MsoNormal"><img width="589" height="112" src= "owasp-mise_en_place-v1.1_fichiers/image010.jpg" align="left" alt= "image" /></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="57" height="1223"></td> </tr> <tr> <td></td> <td><img width="149" height="28" src= "owasp-mise_en_place-v1.1_fichiers/image011.gif" alt= "image" /></td> </tr> </table> <p class="MsoNormal">Puis un autre clic sur <i>suivant</i> et enfin sur <i>burp</i> <i>defaults</i>.</p> <p class="MsoNormal"> </p> <p class="MsoNormal"> </p> <p class="MsoNormal"><img width="438" height="98" src= "owasp-mise_en_place-v1.1_fichiers/image012.jpg" align="left" alt= "image" /></p> <p class="MsoNormal"> </p> <p class="MsoNormal"> </p> <p class="MsoNormal"> </p> <p class="MsoNormal"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="146" height="1189"></td> </tr> <tr> <td></td> <td><img width="150" height="28" src= "owasp-mise_en_place-v1.1_fichiers/image013.gif" alt= "image" /></td> </tr> </table> <p class="MsoNormal"> </p> <p class="MsoNormal"> </p> <br clear="all" /> <p class="MsoNormal">Enfin, il faut cliquer sur le bouton <b>Start Burp</b>.</p> <p class="MsoNormal"> </p> <p class="MsoNormal">Le répertoire d'installation de BurpSuite se situe par défaut dans <i>/usr/local/BurpSuiteCommunity</i>. Pour effectuer une première interception de requête, il faut cliquer sur l'onglet <i>Proxy</i>, puis sur <i>Intercept</i> et vérifier la présence du bouton <i>intercept is on</i> (en cliquant sur<i>Intercept is off</i>).</p> <p class="MsoNormal"> </p> <p class="MsoNormal">Lors de l'accès à un site depuis le navigateur, chaque requête est capturée par BurpSuite. Le clic sur le bouton <i>Forward</i> permet de passer à la requête suivante. En attendant ce clic, le proxy se met en attente avant d'envoyer les données vers le serveur web.</p> <p class="MsoNormal"> </p> <p class="MsoNormal">Pour désactiver la capture, il suffit de cliquer sur ‘intercept is on’ pour obtenir ‘intercept is off’.</p> <p class="MsoNormal"> </p> <p class="MsoNormal"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="8" height="0"></td> </tr> <tr> <td></td> <td><img width="601" height="267" src= "owasp-mise_en_place-v1.1_fichiers/image014.jpg" alt= "image" /></td> </tr> </table> <br clear="all" /></div>
Table des matières
Sujets
Recherche
I Architecture générale
II Les machines
1 Description des machines
2 Mise à jour des paquets
III Préparation de Mutillidae
1 Présentation de Mutillidae
2 Installation de Mutillidae
2.1 Installation
2.2 Initialisation de la configuration
IV Préparation de BurpSuite
1 Présentation de BurpSuite
2 Installation de BurpSuite (version gratuite)
2.1 Installation
2.2 Configuration du navigateur (à controler sur chaque poste)
2.3 Première capture de paquet (à tester)
1 Description des machines
1 Présentation de BurpSuite
1 Présentation de Mutillidae
2.1 Installation
2.1 Installation
2.2 Configuration du navigateur (à controler sur chaque poste)
2.2 Initialisation de la configuration
2.3 Première capture de paquet (à tester)
2 Installation de BurpSuite (version gratuite)
2 Installation de Mutillidae
2 Mise à jour des paquets
III Préparation de Mutillidae
II Les machines
IV Préparation de BurpSuite
I Architecture générale
Générée avec
chmProcessor
Générée avec
chmProcessor