INFO

Question 1

Définition d’une injection SQL et donnez quelques types d’injection

Answer 1

Une injection SQL est la possibilité d’injecter du code SQL dans une entrée afin de manipuler la base de données.

• UNION (pour récupérer des données, même nombre de colonnes)
• Time Based : Calcul du temps d’exécution pour chaque opération
• Error Based : Envoyer des fausses requêtes. Les messages d’erreur nous donnent des informations
• Blind : L’application nous donne aucun message d’erreur

Question 2

Qu’est ce qu’une LFI et RFI ?

Answer 2

Permet de retrouver des fichiers sensibles où il y a des fonctions vulnérables permettant d’inclure des fichiers (include, fopen, etc.)

Question 3

Définition des Failles XSS et citer quelques exploitations connues (3)

Answer 3

• Réfléchi (la base)
• Stockée : l’exemple du forum (inscrire un script de chargement vers une page malveillante avec window.location)
• Basé sur le DOM : Injecter du code malveillant quand l’application permet de créer des éléments HTML
• Basé sur le CSP : On va copier coller le CSP sur un CSP validator puis on regarde les directives mal configurées
• Basé sur le CSS : Injecter du javascript dans le code XSS

Question 4

Expliquer ce qu’est un JWT et donner quelques types de failles

Answer 4

JSON Web Token. Il permet l’échange sécurisé de jetons (tokens) entre plusieurs parties. Un jeton se compose de trois parties :

• Un en-tête (header), utilisé pour décrire le jeton.
• Une charge utile (payload) qui représente les informations embarquées dans le jeton.
• Une signature numérique.

Types de failles :

• Attaque par signature : lorsque les serveurs ne vérifient pas la signature (notamment le champ algorithm)
• Attaque par bruteforce du secret

Question 5

Définir une faille “File Upload”

Answer 5

Possibilité de faire exécuter un fichier malveillant à travers un service de téléchargement de fichiers (permise par une application). L’objectif étant de récupérer des informations sensibles sur le serveur.

On va par exemple importer un fichier PHP malveillant en le faisant passer par une image.

Question 6

Définition d’une faille applicative et donner deux attaques possibles en les décrivant

Answer 6

Définition : Failles des applications et exécutables.

Dépassement tampon (buffer overflow) : Ecrire plus que ce qui est alloué par la mémoire pour rediriger le programme vers un code malveillant.

Format String : On va aller chercher des données et les écraser par des adresses - à l’aide des formateurs de printf().

Question 7

Définir les modèles OSI et TCP et les couches qui les composent.

Answer 7

Modèles théoriques représentant le processus de communication entre deux entités réseau (du haut niveau vers le bas niveau).

OSI : Application, Présentation, Session, Transport, Réseau, Liaison, Physique
TCP : Application, Transport, Internet, Accès réseau

Question 8

Définir une LAN et un VLAN

Answer 8

LAN : Local Area Network,
- Réseau local
VLAN : Virtual Local Area Network
- Subdivision du réseau local

Question 9

Qu’est ce que le protocole ARP ?

Answer 9

Protocole qui permet de retrouver un adresse MAC à partir d’une adresse IP (IP –> MAC). Entre couche 2 et couche 3 (ou couche 3 vers 2)

Question 10

Qu’est ce qu’une adresse IP ?

Answer 10

Adresse IP : Numéro permettant d’identifier une machine sur un réseau (niveau de la couche 3).

• Une adresse se compose d’un ID réseau et d’un ID machine sur 32 bits (octet, octet, octet, octet)
• Il existe 4 classes en fonction de leur utilisation

Question 11

Qu’est-ce qu’un masque de sous-réseau

Answer 11

Masque de sous réseau : Permet de connaître à quel réseau appartient une adresse IP.

Question 12

Qu’est ce le NAT et le PAT ?

Answer 12

Le NAT/PAT (Network Address Translation et Port Address Translation)
Sont des protocoles permettant la passerelle entre adresses publiques et adresses privées.

Question 13

A quelle couche apartient le protocole DNS ?

Answer 13

Couche 7

Question 14

Définir le cycle du renseignement

Answer 14

Simplifié : Collecte, traitement et diffusion de l’information.

Mais les 5 étapes sont : Expression des besoins, Collecte, Traitement, Analyse, Diffusion

Question 15

Définir la Cyber Threat Intelligence

Answer 15

Cyber Threat Intelligence : Discipline issue des techniques du renseignement visant à fournir un renseignement actionnable et contextualisé sur les cybermenaces.

Question 16

Définir les procédures de MCO et MCS et donner un exemple de procedure

Answer 16

o Rédaction des procédures MCO : Ensemble des stratégies préventives permettant de garantir la disponibilité du SI –> Plan de sauvegarde et de restauration

o Rédaction des procédures MCS : Ensemble des procédures permettant de garantir une sécurité optimale du SI (ex : mener un test d’intrusion annuel)

Question 17

Définir la gouvernance des SI

Answer 17

Ensemble de mesures et de politiques visant à l’alignement entre les ressources produites par les systèmes d’information et la vision de l’entreprise.

Exemple : Un entreprise souhaite se certifier ISO27001 afin de valoriser son image en matière de sécurité de l’information.

Question 18

A quoi sert une analyse de risque ?

Answer 18

Sert à anticiper et analyser les risques afin de se protéger des menaces.

Question 19

Différences entre EBIOS 2010 et RM ?

Answer 19

• Se concentrer davantage sur les menaces intentionnelles (pour les scénarios de risque)
• Les scénarios sont plus détaillés que sur 2010

Question 20

Définir la norme ISO27001

Answer 20

ISO27001 est une norme permettant de mettre en place un système de management de la sécurité de l’information (SMSI).

Un SMSI fait partie d’un système de management intégré appelé QSE dans lequel on va gérer :

• La Qualité (SMQ)
• La Sécurité (SMSI)
• L’Environnement (SME)

Question 21

Qu’est ce que la norme ISO 22301 ?

Answer 21

Est une norme permettant de mettre en place une gestion de continuité d’activité.

Cette gestion permet de savoir à partir de quel moment les éléments sont critiques et en combien de temps il est possible de reprendre ces activités critiques.

Question 22

Citer 3 attaques en Active Directory.

Answer 22

Pass The Hash

La méthode Pass The Hash consiste à utiliser le hash NTLM d’un utilisateur pour s’authentifier auprès d’un service. Cette attaque permet de s’authentifier sans connaître le mot de passe en clair. Elle est notamment très utile dans les phases de déplcament latéral.

Kerberoasting (Kerberos) : Le but de Kerberoasting est de demander et récupérer des tickets TGS que l’on va bruteforcer/déchiffrer hors ligne.

Silver Ticket/Golden Ticket (Kerberos) : L’attaquant forge un nouveau TGS falsifié avec les services qu’il souhaite afin d’y accéder.

Question 23

En Forensique, quels sont les artefacts à rechercher ? (environnement Windows)

Answer 23

Internet : Historique de navigation, session, cache et cookie)
Exécution : Prefetchs (répertoire des 120 derniers programmes exécutés), etc.
Fichiers/Dossier : Shellbags (fichiers et dossiers récemment ouverts), etc.
Réseau : historique des adresses IP
Utilisateurs : Liste des comptes locaux
Périphériques USB : Identification des numéros de série des périphériques insérés.

Question 24

Quels sont les objectifs d’un SOC ?

Answer 24

Centraliser la cybersécurité dans sur 3 domaines :

• Prévention : Veille vulnérabilités (0day)
• Détection : Collecte, centralisation et analyse de logs
• Réaction : Investigations étendues (rechercher les coupables),