Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste : installglpi githubvisualstudio
cyber:vulnerabilite:analyselogs

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
cyber:vulnerabilite:analyselogs [2025/07/03 11:35] – [Prérequis] admincyber:vulnerabilite:analyselogs [2025/07/03 11:57] (Version actuelle) – [Exploiter] admin
Ligne 32: Ligne 32:
 ==== Exploiter ==== ==== Exploiter ====
  
-Consultez les solutions de chaque challenge.+
  
 ===== Bénéfices potentiels ===== ===== Bénéfices potentiels =====
Ligne 52: Ligne 52:
  
  
-Voici un exemple de logs Apache qui pourraient indiquer une tentative d'{{injection SQL}} :+Voici un exemple de logs Apache qui pourraient indiquer une tentative d'**injection SQL** :
  
 <code class="apache"> <code class="apache">
Ligne 61: Ligne 61:
  
 Dans cet exemple, trois requêtes HTTP distinctes sont envoyées au serveur Apache.  Dans cet exemple, trois requêtes HTTP distinctes sont envoyées au serveur Apache. 
--* La première requête contient une chaîne de caractères <code>1' OR '1'='1</code> dans le paramètre {{id}}. Cette chaîne est souvent utilisée par les attaquants pour tester la vulnérabilité SQL Injection. Si la requête renvoie un code de retour HTTP 200 (succès), cela peut indiquer que l'injection SQL est possible. +  * La première requête contient une chaîne de caractères <code>1' OR '1'='1</code>  dans le paramètre **id**. Cette chaîne est souvent utilisée par les attaquants pour tester la vulnérabilité SQL Injection. Si la requête renvoie un code de retour HTTP 200 (succès), cela peut indiquer que l'injection SQL est possible. 
--* La deuxième requête, avec la chaîne <code>1' OR '1'='2</code>, est une autre tentative d'injection, visant à vérifier la réaction du serveur. Un code de retour {{HTTP 500}} (erreur interne du serveur) peut suggérer que l'injection SQL n'a pas réussi ou que le serveur a rencontré une erreur. +  * La deuxième requête, avec la chaîne <code>1' OR '1'='2</code>, est une autre tentative d'injection, visant à vérifier la réaction du serveur. Un code de retour **HTTP 500** (erreur interne du serveur) peut suggérer que l'injection SQL n'a pas réussi ou que le serveur a rencontré une erreur. 
--* La troisième requête est une tentative d'exploitation plus malveillante, visant à supprimer une table de la base de données. Encore une fois, un code de retour {{HTTP 500}} peut indiquer une erreur ou un blocage par des mesures de sécurité.+  * La troisième requête est une tentative d'exploitation plus malveillante, visant à supprimer une table de la base de données. Encore une fois, un code de retour **HTTP 500** peut indiquer une erreur ou un blocage par des mesures de sécurité.
  
  
-{{{Exemple 2}}}+===== Exemple 2 =====
  
-Voici un exemple de logs Nginx qui pourraient indiquer une tentative d'attaque de type {{LFI (Local File Inclusion)}}:+ 
 +Voici un exemple de logs Nginx qui pourraient indiquer une tentative d'attaque de type **LFI (Local File Inclusion)**:
  
 <code class="nginx"> <code class="nginx">
Ligne 76: Ligne 77:
  
 Dans cet exemple, deux requêtes HTTP sont envoyées au serveur Nginx.  Dans cet exemple, deux requêtes HTTP sont envoyées au serveur Nginx. 
--* La première requête tente d'accéder au fichier <code>/etc/passwd</code> du système, ce qui est une tentative commune d'inclusion de fichier local. Si la requête renvoie un code de retour {{HTTP 403}} (accès interdit), cela indique que des mesures de sécurité peuvent être en place pour bloquer l'accès aux fichiers sensibles. +  * La première requête tente d'accéder au fichier <code>/etc/passwd</code> du système, ce qui est une tentative commune d'inclusion de fichier local. Si la requête renvoie un code de retour **HTTP 403** (accès interdit), cela indique que des mesures de sécurité peuvent être en place pour bloquer l'accès aux fichiers sensibles. 
--* La deuxième requête tente d'accéder au fichier de logs d'accès de Nginx. Un code de retour {{HTTP 403}} indique également que l'attaque LFI n'a pas réussi en raison des restrictions d'accès.+  * La deuxième requête tente d'accéder au fichier de logs d'accès de Nginx. Un code de retour **HTTP 403** indique également que l'attaque LFI n'a pas réussi en raison des restrictions d'accès. 
 + 
 +====== References ====== 
 +URL :  
 +  * https://openclassrooms.com/fr/courses/1750566-optimisez-la-securite-informatique-grace-au-monitoring/7144422-selectionnez-les-logs-a-analyser 
 +  * https://openclassrooms.com/fr/courses/1750566-optimisez-la-securite-informatique-grace-au-monitoring 
 +  * https://www.ssi.gouv.fr/uploads/2022/01/anssi-guide-recommandations_securite_architecture_systeme_journalisation.pdf 
 +  * https://www.ssi.gouv.fr/uploads/2022/01/anssi-guide-recommandations_securite_journalisation_systemes_microsoft_windows_environnement_active_directory.pdf 
 +  * https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-92.pdf
 ====== Retour fiches vulnérabilités ====== ====== Retour fiches vulnérabilités ======
   * [[cyber:vulnerabilite:accueil|Cyber fiches vulnérabilités]]   * [[cyber:vulnerabilite:accueil|Cyber fiches vulnérabilités]]
cyber/vulnerabilite/analyselogs.1751535316.txt.gz · Dernière modification : 2025/07/03 11:35 de admin