InSecurity
Association de l'INSA de Lyon

AG de recrutement 2017


Affiche de recrutement

Intéressé pour te lancer dans la sécurité informatique ? Viens découvrir la pratique du hacking en partant de zéro avec InSecurity !
Lors de l'amphi de recrutement, nous donnerons toutes les informations utiles pour assister aux séances que nous donnerons tout au long de l'année.
Aucune compétence préalable n'est requise pour participer à InSecurity, les séances sont volontairement calibrées pour pouvoir accueillir des débutants !
L'association est ouverte à tous. Pour plus de renseignements, n'hésite pas à nous contacter sur la page Facebook.



Le 30/09/2017 à 14:45

Ins'hack 2017


Après quelques semaine de teasing, voici le programme complet des conférences, avec en particulier nos derniers intervenants Khack40, première équipe française de CTF et 18ème place mondiale l'an dernier !

14H00 OVH : démonstration en live de recherche de serveur C&C
15h15 Tétrane : Présentation et démonstration de reverse engineering
16H30 Khack40 : Tips & tricks sur les CTF et présentations de writeup


À partir de 17h30 vous pourrez venir vous désaltérer autour d'un petit buffet tout en ayant la possibilité de discuter avec les intervenants et nos partenaires Société Générale, Sogeti, Tetrane ou OVH, pour faciliter les contacts avec les intervenants nous vous laissons également la possibilité de déposer vos CV qu'ils pourront consulter par la suite !

Après le buffet vous pourrez également participer à un CTF (format Jeopardy) organisé par nos soins et qui se déroulera jusque minuit (et si vous en voulez encore il sera également disponible en ligne jusqu'au week-end).
Nous vous attendons donc nombreux à partir de 14h à l'amphi Gaston Berger.

Pour toutes les informations n'hésitez pas à consulter le site de l'événement.



Le 05/03/2017 à 14:48

INSECURITY - TP2


Durant cette deuxième séance de TP, l'intervenant Julien Cayssol de Certilience nous a d'abord rappelé les failles élémentaires qui peuvent conduire à une escalation des privilèges avant de nous présenter divers outils automatisant ou assistant à l'exploitation de ces failles tels que Burp ou sqlmap.

Vous pouvez retrouver son diaporama de présentation ici.



Le 09/11/2016 à 00:12

InSecurity - TP1


1. Injection SQL

L'injection SQL consiste en l'insertion d'un morceau de code SQL non prévu dans une requête SQL légitime. Cela permet de compromettre la sécurité d'une application (requêtes initiées par le pirate, bypass d'authentification, etc). Plusieurs types d'injections SQL existent (blind based, error based, union based, stacked queries).
Pour se protéger de ces attaques, il faut utiliser des requêtes paramètrées.
Lien1 : https://openclassrooms.com/courses/protegez-vous-efficacement-contre-les-failles-web/l-injection-sql-1
Lien2 : https://wiki.zenk-security.com/doku.php?id=failles_web:sql_injection

2. XSS

La faille XSS (Cross Site Scripting) permet à un attaquant d’exécuter un code arbitraire en HTML, ou JavaScript laissant entrevoir d'innombrables possibilités allant du simple affichage de texte au vol de cookies utilisateur. Les XSS peuvent être permanentes ou non permanentes, et plus ou moins graves.
Pour se protéger de ces attaques, il suffit d'utiliser la fonction html_entities().
Lien1 : https://openclassrooms.com/courses/protegez-vous-efficacement-contre-les-failles-web/la-faille-xss-1
Lien2 : http://www.funinformatique.com/faille-xss-comment-lexploiter-et-sen-proteger/

3. OS Commanding

Cette faille permet d’exécuter des commandes sur la machine hébergeant le serveur web. Pour cela, il suffit par exemple d'utiliser le caractère ; suivit d'une commande dans un champ non filtré.
Pour se protéger de ce genre d'attaque, on optera pour une vérification de l'input utilisateur avec l'aide d'une RegEx. On peut également cloisonner le service web.
Lien1 : http://searchsoftwarequality.techtarget.com/definition/OS-commanding
Lien2 : https://www.youtube.com/watch?v=CiXEFD-cTnw

4. File inclusion

Cette faille permet à l'attaquant de lire des fichiers pour lesquels l'utilisateur n'a aucun droit de lecture en temps normal.
Pour éviter ce genre d'attaque, il suffira de faire une whitelist de fichiers accessibles. Si l'utilisateur essaie d'inclure un fichier non autorisé, il est renvoyé à l’accueil.
Lien1 : https://websec.wordpress.com/2010/02/22/exploiting-php-file-inclusion-overview/
Lien2 : http://gits.hydraze.org/article-16-la-faille-include.html

5. Binary planting

Le binary planting consiste à faire uploader un script malveillant à un serveur web, et à lui faire exécuter. Pour l'upload, on utilise par exemple la fonction upload prévu par le site. Pour l’exécution on récupère l'adresse ou est stocké le script, puis on l’exécute via le navigateur.
Lien1 : https://www.owasp.org/index.php/Binary_planting

6. Injection NOSQL

À découvrir...

7. Improper input validation

Cette catégorie regroupe en faite plusieurs failles possibles. Le fait que l'input de l'utilisateur n'est pas vérifié permet d'obtenir des comportements anormaux de la part de l'application. Citons par exemple le cas du bufferoverflow qui permet de détourner le flow d'une application à cause d'un dépassement de tampon. Un développeur pensant que vérifier l'input utilisateur coté client est suffisant a tout faux. On peut utiliser un proxy (comme Paros) pour bypasser ce type de protection.
La solution, c’est comme d’habitude, de vérifier tous les inputs utilisateurs ;-).
Lien1 : https://cwe.mitre.org/data/definitions/20.html
Lien2 : https://www.owasp.org/index.php/Improper_Data_Validation



Le 17/10/2016 à 20:59

Agenda des séances INSECURITY




Le 06/10/2016 à 20:11

AG de Recrutement 2016


Affiche de recrutement

L'association insalienne InSecurity organise une assemblée générale de recrutement pour tous ceux qui sont intéressés par la sécurité informatique, que vous soyez débutants ou expérimentés.

Aucune connaissance technique préalable n'est demandée, mais simplement de la motivation !

Au programme de cette année, des cours d'initiations encadrés par des professeurs de l'INSA, des intervenants extérieurs, des échanges de connaissances et de challenges entre membres, et des participations à diverses compétitions internationales de hacking.

Événement sur Facebook : ici



Le 01/10/2016 à 13:36

CTF & conférences


InSecurity organise un CTF & des conférences le 7 avril 2016. Inscriptions sur le site du CTF et déroulement de l'après-midi sur le site des conférences.

Ouvert à tous que vous soyez étudiant, professionnel ou amateur !

Les conférences s'annoncent vraiment sympathiques (cf la time-line) et on met tous nos efforts dans le CTF pour qu'il soit le plus complet et intéressant possible !



Le 02/02/2016 à 00:00

CTF de rentrée


RDV le 5 Novembre 2015 pour un CTF fait-maison

Les anciens de InSecurity vous ont concocté un CTF pour tous les niveaux.

RDV de 14h à 18h au département TC (1er étage) pour te mesurer aux autres participants ! Le CTF se déroulera par équipe de 1 à 4 personnes.



Le 27/10/2015 à 00:00

Ouverture des inscriptions !


Début de la saison 2015-2016

InSecurity est une association Insalienne qui a pour but de promouvoir auprès des étudiants, la sécurité des systèmes d'information.

Ouvert à tous, débutants et confirmés !

Si vous souhaitez participer à InSecurity c'est par ici : Inscription



Le 08/10/2015 à 12:00

Prochaines Réunions


Principale réunion d'information :  Jeudi 15 Octobre à 17H en amphi 501.337 (3è étage du Département Informatique). L'évènement Facebook pour plus d'infos : AG InSecurity

Puis, les séances s'organiseront comme suit :

  • Jeudi 22 Octobre : CTF interne à InSecurity. Venez nombreux et motivés !
  • Jeudi 5 Novembre : Séance de sécurité WEB.
  • Jeudi 12 Novembre : Séance Sécurité Applicative, Buffer Overflow réalisée par un enseignant du département TC.
  • Jeudi 19 Novembre : Séance à déterminer ...
  • Jeudi 26 Novembre : Séance de Préparation de iCTF
  • Vendredi 4 Décembre : iCTF, compétition internationale entre universités. Pizzas et hacking :D


Le 08/10/2015 à 00:00

Evenement INSA : INShack


InSecurity organise une conférence sur la sécurité informatique à l'INSA, le jeudi 30 avril.
Plus d'informations disponibles sur la page dédiée à l'évenement :
INShack sur Facebook
Site de INShack



Le 22/04/2015 à 00:00

Note Importante


A l’attention des inscrits,

Normalement, vous avez été rajouté à la mailing liste et avez donc dû recevoir un mail avec tous les détails et un formulaire Doodle à remplir.
Si ce n’est pas le cas, merci de nous faire signe.

Bien que nous déclarions ne pas être responsables des actes individuels, on tient à vous rappeler que tout écart par rapport à notre charte ou toute loi en vigueur peut entraîner des répercussions envers l’INSA de Lyon et nuire à la pérennité future de l’association.

Nous vous invitons donc à rester très prudent vis-à-vis de la mise en pratique de vos connaissances acquises et surtout à être responsables.
N’hésitez donc pas à nous en parler pour savoir ce que vous avez le droit de faire et où vous pouvez pratiquer sans enfreindre les règles.



Le 30/10/2014 à 00:00

Annonce Sélection


Bonjour à tous !
Voici les résultats de la sélection et ce qu’il faut savoir !
N’ayant pas dépassé de beaucoup notre quota de départ nous avons décidé de prendre tous ceux qui se sont inscrit sur notre site.
Nous tenons également à nous excuser pour le retard qu’on a eu à cause des projets qu’on devait boucler et la révision de notre partiel.
Les challenges qui ont été mis hier (et ceux qui viendront), sont là pour vous amuser et aussi pour que vous commenciez à vous y intéresser un peu (histoire d’avoir un aperçu de ce qu’on va faire).
On vous rappelle, que si vous vous désistez, il faut nous prévenir à l’avance.
Vous recevrez pendant les vacances l’organisation des séances et plus de détails pour le planning du 2nd semestre.
Sur ce, bonnes vacances à tous !
INSECURITY TEAM



Le 24/10/2014 à 00:00

Annonce Vendredi 24 Octobre


Nous avons décidé de fermer le recrutement aujourd'hui, une semaine exactement après l'amphi de présentation.
Nous avons également ajouté la partie Challenge du site, avec un nouveau challenge ! Amusez vous bien !
Demain, grande annonce par rapport à la sélection !



Le 23/10/2014 à 00:00

Informations sur le recrutement


Suite au (trop grand ?) succès de notre réunion et dans un souci de maintenir la qualité de l’encadrement durant les TP, nous avons décidé de ne prendre que 75 personnes maximum pour suivre les TP d’introduction à la sécurité informatique. Les personnes sélectionnées seront réparties en 3 groupes qui seront suivis par l’intervenant TC et nous membres de l’association.

Cette sélection ne concerne que le suivi des séances du 1er semestre. Une 2e sélection, pour déterminer ceux qui veulent s’investir, aura lieu si on est encore trop nombreux à la fin du 1er semestre afin de pouvoir gérer les activités intra-association.

Comment va se dérouler la sélection pour assister aux cours du 1er semestre ?

  • Les personnes qui seront sélectionnées pour le 1er semestre, s’engagent à assister à toutes les séances de TP (par soucis d’équité envers ceux qui n’ont pas été sélectionnés).

  • Un quota sera mis en place par départements (IF, TC, GE, PC, Autres). À l’intérieur de chaque quota, votre classement aux challenges de logique et de « débrouillardise » (qui seront mis en ligne dans les jours qui suivent) détermineront le poids que nous accorderons à votre candidature. Ces challenges ne nécessitent a priori pas de compétences en sécurité informatique ; il vous faudra au minimum savoir coder (peu importe le langage). Ces challenges mettront en avant les compétences essentielles en sécurité informatique : la curiosité pour l’inconnu et votre capacité à trouver l’information. Google est votre ami ;) .

NB : Les quotas non remplis seront reconvertis équitablement pour les autres.

Pour participer aux challenges, vous devrez vous inscrire sur le site (les informations non valides ne seront pas prises en compte). Pensez à vérifier régulièrement les news du site, les challenges seront publiés très rapidement (dans les jours qui viennent) et la deadline sera a priori pour le dimanche 26/10 inclus !

Si vous êtes sélectionnés, vous recevez un mail de confirmation durant les vacances avec votre numéro de groupe.

Merci de nous prévenir par mail si vous désistez.



Le 16/10/2014 à 00:00

Prochaines Réunions


Principale réunion d'information :  Jeudi 16 Octobre à 14H en salle 355 (Département Informatique).

Puis, les premières séances auront lieu après les vacances d'Octobre :

  • Jeudi 6 Novembre : Séance WEB (Cours et Travaux Pratiques) réalisée par un intervenant extérieur.
  • Jeudi 13 Novembre : Séance WEB Suite
  • Jeudi 20 Novembre : Séance Sécurité Applicative, Buffer Overflow réalisée par un enseignant du département TC
  • Jeudi 27 Novembre : Séance Sécurité Applicative Suite
  • Jeudi 4 Décembre : Séance de Préparation de iCTF
  • Vendredi 5 Décembre : iCTF, compétition internationale entre universités.


Le 09/10/2014 à 00:00

Création du site WEB


Afin d'améliorer la visibilité de l'association Insecurity, le site WEB insecurity-insa.fr a été créé.

Le site permettra dans le futur de suivre les nouvelles de l'association, de s'entrainer au Hacking via des épreuves en ligne et de contacter facilement le bureau d'Insecurity.



Le 05/10/2014 à 00:00