INFO Flashcards
Définition d’une injection SQL et donnez quelques types d’injection
Une injection SQL est la possibilité d’injecter du code SQL dans une entrée afin de manipuler la base de données.
- UNION (pour récupérer des données, même nombre de colonnes)
- Time Based : Calcul du temps d’exécution pour chaque opération
- Error Based : Envoyer des fausses requêtes. Les messages d’erreur nous donnent des informations
- Blind : L’application nous donne aucun message d’erreur
Qu’est ce qu’une LFI et RFI ?
Permet de retrouver des fichiers sensibles où il y a des fonctions vulnérables permettant d’inclure des fichiers (include, fopen, etc.)
Définition des Failles XSS et citer quelques exploitations connues (3)
- Réfléchi (la base)
- Stockée : l’exemple du forum (inscrire un script de chargement vers une page malveillante avec window.location)
- Basé sur le DOM : Injecter du code malveillant quand l’application permet de créer des éléments HTML
- Basé sur le CSP : On va copier coller le CSP sur un CSP validator puis on regarde les directives mal configurées
- Basé sur le CSS : Injecter du javascript dans le code XSS
Expliquer ce qu’est un JWT et donner quelques types de failles
JSON Web Token. Il permet l’échange sécurisé de jetons (tokens) entre plusieurs parties. Un jeton se compose de trois parties :
- Un en-tête (header), utilisé pour décrire le jeton.
- Une charge utile (payload) qui représente les informations embarquées dans le jeton.
- Une signature numérique.
Types de failles :
- Attaque par signature : lorsque les serveurs ne vérifient pas la signature (notamment le champ algorithm)
- Attaque par bruteforce du secret
Définir une faille “File Upload”
Possibilité de faire exécuter un fichier malveillant à travers un service de téléchargement de fichiers (permise par une application). L’objectif étant de récupérer des informations sensibles sur le serveur.
On va par exemple importer un fichier PHP malveillant en le faisant passer par une image.
Définition d’une faille applicative et donner deux attaques possibles en les décrivant
Définition : Failles des applications et exécutables.
Dépassement tampon (buffer overflow) : Ecrire plus que ce qui est alloué par la mémoire pour rediriger le programme vers un code malveillant.
Format String : On va aller chercher des données et les écraser par des adresses - à l’aide des formateurs de printf().
Définir les modèles OSI et TCP et les couches qui les composent.
Modèles théoriques représentant le processus de communication entre deux entités réseau (du haut niveau vers le bas niveau).
OSI : Application, Présentation, Session, Transport, Réseau, Liaison, Physique
TCP : Application, Transport, Internet, Accès réseau
Définir une LAN et un VLAN
LAN : Local Area Network,
- Réseau local
VLAN : Virtual Local Area Network
- Subdivision du réseau local
Qu’est ce que le protocole ARP ?
Protocole qui permet de retrouver un adresse MAC à partir d’une adresse IP (IP –> MAC). Entre couche 2 et couche 3 (ou couche 3 vers 2)
Qu’est ce qu’une adresse IP ?
Adresse IP : Numéro permettant d’identifier une machine sur un réseau (niveau de la couche 3).
- Une adresse se compose d’un ID réseau et d’un ID machine sur 32 bits (octet, octet, octet, octet)
- Il existe 4 classes en fonction de leur utilisation
Qu’est-ce qu’un masque de sous-réseau
Masque de sous réseau : Permet de connaître à quel réseau appartient une adresse IP.
Qu’est ce le NAT et le PAT ?
Le NAT/PAT (Network Address Translation et Port Address Translation)
Sont des protocoles permettant la passerelle entre adresses publiques et adresses privées.
A quelle couche apartient le protocole DNS ?
Couche 7
Définir le cycle du renseignement
Simplifié : Collecte, traitement et diffusion de l’information.
Mais les 5 étapes sont : Expression des besoins, Collecte, Traitement, Analyse, Diffusion
Définir la Cyber Threat Intelligence
Cyber Threat Intelligence : Discipline issue des techniques du renseignement visant à fournir un renseignement actionnable et contextualisé sur les cybermenaces.
Définir les procédures de MCO et MCS et donner un exemple de procedure
o Rédaction des procédures MCO : Ensemble des stratégies préventives permettant de garantir la disponibilité du SI –> Plan de sauvegarde et de restauration
o Rédaction des procédures MCS : Ensemble des procédures permettant de garantir une sécurité optimale du SI (ex : mener un test d’intrusion annuel)
Définir la gouvernance des SI
Ensemble de mesures et de politiques visant à l’alignement entre les ressources produites par les systèmes d’information et la vision de l’entreprise.
Exemple : Un entreprise souhaite se certifier ISO27001 afin de valoriser son image en matière de sécurité de l’information.
A quoi sert une analyse de risque ?
Sert à anticiper et analyser les risques afin de se protéger des menaces.
Différences entre EBIOS 2010 et RM ?
- Se concentrer davantage sur les menaces intentionnelles (pour les scénarios de risque)
- Les scénarios sont plus détaillés que sur 2010
Définir la norme ISO27001
ISO27001 est une norme permettant de mettre en place un système de management de la sécurité de l’information (SMSI).
Un SMSI fait partie d’un système de management intégré appelé QSE dans lequel on va gérer :
- La Qualité (SMQ)
- La Sécurité (SMSI)
- L’Environnement (SME)
Qu’est ce que la norme ISO 22301 ?
Est une norme permettant de mettre en place une gestion de continuité d’activité.
Cette gestion permet de savoir à partir de quel moment les éléments sont critiques et en combien de temps il est possible de reprendre ces activités critiques.
Citer 3 attaques en Active Directory.
Pass The Hash
La méthode Pass The Hash consiste à utiliser le hash NTLM d’un utilisateur pour s’authentifier auprès d’un service. Cette attaque permet de s’authentifier sans connaître le mot de passe en clair. Elle est notamment très utile dans les phases de déplcament latéral.
Kerberoasting (Kerberos) : Le but de Kerberoasting est de demander et récupérer des tickets TGS que l’on va bruteforcer/déchiffrer hors ligne.
Silver Ticket/Golden Ticket (Kerberos) : L’attaquant forge un nouveau TGS falsifié avec les services qu’il souhaite afin d’y accéder.
En Forensique, quels sont les artefacts à rechercher ? (environnement Windows)
Internet : Historique de navigation, session, cache et cookie)
Exécution : Prefetchs (répertoire des 120 derniers programmes exécutés), etc.
Fichiers/Dossier : Shellbags (fichiers et dossiers récemment ouverts), etc.
Réseau : historique des adresses IP
Utilisateurs : Liste des comptes locaux
Périphériques USB : Identification des numéros de série des périphériques insérés.
Quels sont les objectifs d’un SOC ?
Centraliser la cybersécurité dans sur 3 domaines :
- Prévention : Veille vulnérabilités (0day)
- Détection : Collecte, centralisation et analyse de logs
- Réaction : Investigations étendues (rechercher les coupables),
