Les arsouyes à l'INSA

tbowan , aryliin

30 octobre 2019

Après une semaine en famille à Bourges où nous avons donné un cours sur la sécurité des applications, voici nos supports de cours.

La semaine dernière, nous avons eu l’honneur de donner un cours sur la sécurité des applications à l’INSA Centre Val de Loire. Pendant une semaine, nous avons pu partager nos connaissances et expériences avec la vingtaine d’étudiants en Master 2 STI (option Sécurité logicielle).

Comme les années précédentes, ce fut aussi l’occasion de vacances d’automne en famille dans le Berry. Ramassage de noix, visite de Bourges et ses environs, défoulement dans un parc de loisir, visite du pôle des étoiles et du Museum d’histoire naturelle, redéfoulement dans un autre parc…

Plein de souvenirs et de chouettes rencontres, merci à tous.

Avec l’aimable autorisation de l’INSA CVL

Avec l’aimable autorisation de l’INSA CVL

Supports

Pour toutes celles et ceusses qui y étaient et voudraient retrouver nos supports de cours, mais aussi tous les autres qui n’y étaient pas et sont curieux, les voici.

 Les cours

0x01 Introduction

Qu’est-ce qu’une vulnérabilité, comment définir la sécurité informatique et autres concepts de base.

0x02 Authentification et Contrôle d’accès

Qu’est-ce c’est, comment bien le faire et comment se tromper avec des fausses bonnes idées.

0x03 Injections

Comment introduire une charge utile (SQL, PHP, JS) dans une application pour détourner son flux d’exécution et obtenir un accès frauduleux.

0x04 Cycles de développement

Pourquoi les vulnérabilités continuent d’exister ? Comment intégrer la sécurité dans le développement de logiciels.

0x05 Gestion de la Mémoire

Comment une mauvaise gestion de la mémoires (free, objets, sérialisation) peut mener à des accès frauduleux.

0x06 Gestion des ressources

Comment une mauvaise gestion des ressources peut mener à des instabilités, dénis de services et effets indésirables.

0x07 Débordements

Comment lire ou écrire en dehors des bornes mène à des exécutions arbitraires et un accès frauduleux. Les fameux buffer overflow, sur la pile, le tas, les entiers mais aussi les chaînes de format.

 Examen

2018 Sujet - Source - Corrigé

La société Speed-e-Devs vient de finir le développement d’une application web qu’elle compte vendre en tant que moteur de blog pour ses clients. Avant sa commercialisation, il vous est demandé d’effectuer un audit de la sécurité de cette application, vos résultats conditionneront la mise sur le marché.

2019 En cours

Après un premier audit de sécurité ayant montré la présence de vulnérabilités dans son moteur de blog, la société Speed-e-Devs a décidé de poursuivre ses développements et vous soumet sa nouvelle version de l’application en espérant que cette fois ça passe.

Et après

Si vous êtes intéressé par une intervention de notre part, n’hésitez pas à  😉. Et si vous voulez en voir d’autres, ces articles peuvent vous intéresser.

CESISEC19

10 juillet 2019 Pour la deuxième édition du CESISEC, nous avons eu l'honneur de présenter nos réflexions autour de la sécurisation des données.