420-5D3 : Carré de sable du projet
Dans les prochaines semaines, vous allez réaliser différents laboratoires qui vont permettre de faire avancer le projet de session
Rappel de la pondération
- Projet complet: 40%
- Remise 01 – semaine 11 : 15%
- Laboratoire 01-04
- Remise 02 – semaine 14 : 15 %
- Laboratoire 05 – 08
- Remise 03 – semaine 15 : 10 %
- Laboratoire 09
- Remise 01 – semaine 11 : 15%
Laboratoire 1
- Déployer une VM Linux dans le nuage de google
- Installer une clé publique SSH
- Sauvegarder en lieu sur, la paire de clés
- Tester la connexion SSH
- Installer Oracle 23c (attention au mot de passe)
- Installer PHP+Oracle_OCI
- Exposer le serveur Web de PHP+Oracle_OCI via un lien HTTPS
- Tester l’accès WEB sécurisé avec un petit script php.
- Sur le SGBD, créer un utilisateur, avec privilège ‘SYS’ et un schéma pour le projet (attention au mot de passe)
- Sur le SGBD, créer un utilisateur nommé « client’ avec comme seuls privilèges la lecture des objets et l’ajout d’enregistrements dans les tables. Note : Il y aura aussi des ajouts via des Duality Views.
- En utilisant l’utilisateur/SYS du nouveau schéma:
- Créer une table ‘Utilisateurs’
- ID (Auto, clé primaire)
- Nom
- Prénom
- email (Index, Non Nul)
- codePays (clé étrangère)
- codeLangue (clé étrangère)
- MotDePasseClair
- MotDePasseArgon2
- MotDePasseSHA256
- MotDePasseBLOWFISH (bcrytp)
- Ajouter au moins 3 enregistrements dont un compte pour l’admin du système
- Encoder manuellement un mot de passe en utilisant la fonction:
- password_hash(‘password’, PASSWORD_ARGON2I);
- et stocker le mot de passe dans MotDePasseArgon2
- Encoder manuellement un mot de passe en utilisant la fonction:
- Rédiger un script php qui retourne au client Web le contenu de la table ‘Utilisateurs’.
- NOTE IMPORTANTE: Dans la script php, il faut établir la connexion à la PDB avec le compte de l’utilisateur ‘
client‘. - Tester le script
- Créer une table ‘Utilisateurs’
- Créer un dépôt sur un serveur Git (Github, bitbucket) pour le projet
- Ajouter un script SQL dans le dépôt qui permettra de recréer au besoin, le schéma, les deux utilisateurs, leurs privilèges, les tables, index, enregistrements, …
- Il faut prévoir les DROP requis.
- Tester le script à partir du serveur Oracle.
- Ajouter un script SQL dans le dépôt qui permettra de recréer au besoin, le schéma, les deux utilisateurs, leurs privilèges, les tables, index, enregistrements, …
<?php
$motdepasse = 'password';
echo '1 - Argon2i hash pour la chaine : ' . password_hash($motdepasse, PASSWORD_ARGON2I);
echo '<br/>2 - SHA256 hash pour la chaine : ' . hash('sha256' , $motdepasse);
echo '<br/>3 - BCRYPT (BLOWFISH) hash pour la chaine : ' . password_hash($motdepasse, PASSWORD_BCRYPT);
?>
Laboratoire 2 – Expression Régulière
Programmer un processus client/serveur qui permet à un utilisateur de se connecter à l’application. Note: Application WEB.
Les champs suivants doivent-être saisis et validés:
- email
- Coté client, valider la forme avec une expression régulière
- Mot de passe
- Coté client, valider la forme avec une expression régulière (Au moins A..Za..Z0..9#!$%?&* += 6 car)
- Si valide, POST vers serveur et valider:
- email présent
- password_hash(mot de passe saisi et validé, PASSWORD_ARGON2I) = MotDePasseAlgo2
- NOTE: Il est aussi possible d’utiliser la fonction php ‘
password_verify()‘
- NOTE: Il est aussi possible d’utiliser la fonction php ‘
Laboratoire 3 – Hachage et ajout dans la BD
Programmer un processus client/serveur qui permet à un utilisateur de se s’inscrire à l’application. Note: Application WEB.
Le schéma ‘client’ doit-être utilisé pour la connexion à la BD.
- Un formulaire Web qui permet de saisir:
- Nom (Non vide)
- Prénom (Non Vide)
- email (Non vide et valide – Regex)
- Mot de passe (Non vide et valide – Regex)
- Ajouter le nouvel utilisateur seulement si les champs sont valides et que l’adresse de courriel n’est pas déjà dans la table des utilisateurs.
- Le mot de passe doit être stocké en
- clair
- SHA256
- Bcrypt (Blowfish)
- Argon2 (avec les paramètres par défaut)
- Le mot de passe doit être stocké en
NOTE: Les validations peuvent-être faites soit du coté client (javascript) ou coté serveur (php/framework …). C’est à votre choix.
Laboratoire 4 – Vulnérabilité des mots de passe
Écrire une application Web qui affiche la liste des utilisateurs:
- Prénom + nom
- Mot de passe clair
- Mot de passe SHA256
- Mot de passe Bcrypt
- Mot de passe Argon2
Tester les mots de passe courants encodés en SHA256, Bcrypt et Argon2 avec l’aide de ‘rainbow table’. Par exemple, crackstation
Extra – Laboratoire E1 – Connexion à la BD via php
À partir de la BD O.T. disponible sur le serveur du D139, afficher le contenu de la table employés dans une page Web:
NOTE: Le script serveur doit rouler dans un conteneur à partir de votre poste de travail.
Extra – Laboratoire E2 – Expressions régulières
Programmer un processus client/serveur qui permet d’ajouter un employé dans la table employés.
Les champs suivants doivent-être saisis et validés:
- Nom et prénom requis
- email requis (coté client, valider la forme avec une expression régulière (abc@def.ghi) et s’assurer qu’il est unique dans la BD)
- Date d’embauche requise et validée
- Numéro de téléphone (valider la forme avec une expression régulière : 999 999-9999)
Laboratoire 5 – View et Duality View
5.1 – Utiliser une vue (view) dans une requête SQL pour retourner un contenu à afficher coté client:
5.2 – Utiliser une Duality View pour obtenir les données en format JSON.
Par exemple,
create or replace json relational duality view pays_dv as
countries @insert @update @delete
{
idPays : COUNTRY_ID
pNom : COUNTRY_NAME
idRegion : REGION_ID
};
--- Exemple d'utilisation
select * from pays_dv fetch first 5 rows only;
Retournera:
Laboratoire 6 – Fonctions personnalisées
Utiliser au moins 2 fonctions SQL personnalisées dans le projet.
Laboratoire 7 – Procédures stockées PL/SQL
Utiliser au moins 2 procédures stockées PL/SQL dans le projet.
Laboratoire 8 – Déclencheurs
Utiliser au moins un déclencheur dans le projet.
Laboratoire 9 – Tests de pénétration : PenTest
À l’aide de Kali Linux, tester la sécurité du SID de votre serveur Oracle.