Ce projet est un projet vise à montrer d'une part comment mettre en place une attaque ARP Cache poisonning (l'exercice 1) et d'autre part comment tester la sécurité d'une applicaiton WEB (l'exercice 2). Et tous ça rien qu'avec des modules Python.
Avant de commencer vous devez vous assurer d'avoir Python3 installé sur votre machine.
Egalement, vous devez avoir les dépendences pour ce projet bien installées. Pour cela, exécutez la commande suivante en étant dans le repertoire du projet.
pip install -r requirements.txtL'objectif de ce exercice est de mettre en oeuvre un workflow d'exécution de l'attaque ARP Cache Poinsonning au moyen d'un code Python en utilisant le module Scapy. Cette attaque est une attaque de type l'homme du mileu ou Man In The Middle (MITM) en anglais.
Le but de cette attaque est de ce positionner entre la machine ciblée et la passerelle de celle-ci afin d'être l'entité par qui tous les packets échangés entre la victime et la passerelle transitent. Ainsi, l'attaquant se fait passer pour la passerelle au près de la victime et pour la victime au près de la passerelle. Il a le choix de retransmettre tous les packets de sa victime à destination de sa passerelle à la passerelle et ceux de la passerelle à destination de la victime à la victime de sorte à ce que tous soit transparent chez les cibles. L'attanquant a également la possibilité de lire simplement les échanges, capturer un packet, le modifier puis le retransmettre, ou même empecher la victime de communiquer.
Pour tester le script, procurer vous un réseau composé d'une Box internet (la passerelle) et d'un téléphone ou d'un PC (la victime) en plus de la machine sur laquel vous aller exécuter le script (l'attaquant). Tous étant connectés à la Box internet.
Avant de lancer le script, essayer d'acceder à internet sur la machine de la victime pour voir quelle arrive bien a joindre internet via sa passerelle qui est la Box. Puis lors de l'exécution, retentez d'accéder à internet pour voir si c'est toujours possible. Vous aurez sans doute aucune reponse tant que le script en en cours.
Vous trouverez d'ample informations sur la mise en oeuvre de l'attaque dans le code du script. Toutefois, pour l'exécuter, reférez vous aux instructions suivantes :
- Sur Linux entrez la commande suivante :
sudo ./exercice1.py --gateway IP_PASSERELLE --target IP_MACHINE_CIBLE- Sur Windows entrez la commande suivante :
./exercice1.py --gateway IP_PASSERELLE --target IP_MACHINE_CIBLE- Résultat
L'objectif de cet exercice est produire un script Python qui puisse nous permettre d'évaluer la sécurité d'une application WEB conformement au TOP 10 des vulnérabilité des application Web en 2021 publié par l'OWASP.
Tester la vunérabilité de l'application web de votre choix (bWapp dans notre cas) en exécutant le script de la manière suivante :
python3 exercice2.py --url URL_DE_LAPPLICATION_WEB
- Sur Linux entrez la commande suivante :
```bash
./exercice2.py --url http://ns.test.lab/bWAPP/login.php- Sur Windows entrez la commande suivante :
./exercice2.py --url http://ns.test.lab/bWAPP/login.php- Résultat
