ZIWIT

Créée en 2011 par Mohammed BOUMEDIANE, Ziwit est une entreprise de cybersécurité développée en France. Au travers de sa marque HTTPCS, Ziwit propose aujourd’hui une suite de cybersécurité offensive Saas comprenant une large gamme de produits réunis dans une interface web permettant de lancer des audits quotidiens automatisés :

  • SECURITY : Scanner de vulnérabilité nouvelle génération
  • MONITORING : Moniteur de disponibilité et analyse de performances par scénarios
  • CYBER VIGILANCE : Outils de veille automatisé sur le Dark Web
  • INTEGRITY : Contrôleur d’intégrité automatique

Ziwit propose également un large choix d’audits de sécurité manuels via Ziwit Consultancy Services, avec des prestations sur mesure afin de pouvoir répondre aux différents besoins de ses clients :

  • Audit organisationnel et physique
  • Test d’intrusion
  • Audit architecture
  • Audit infrastructure
  • Security Operation Center

L’équipe dédiée Ziwit Consultancy Services intervient pour des organisations privées. Des rapports personnalisés sont ensuite établis par des experts.

Des formations sur-mesure sont également proposées par les équipes spécialisées afin de pouvoir former et sensibiliser sur les cyber-risques d’aujourd’hui.

Ziwit possède de nombreuses certifications illustrant la rigueur et la qualité de ses services.

Le défi: Bee The Hacker!

Theme:

Développement, Cybersécurité

Lot:

Carte Amazon d'une valeur de 100€

Met du Honey Pot dans ton application. Vous ne savez pas ce qu'est un Honey pot ? c'est pas grave ! Dans le jargon de la sécurité informatique, un honeypot est une méthode de défense active qui consiste à attirer des adversaires potentiels afin de les identifier et éventuellement de les neutraliser. Votre mission (si vous l'acceptez...et oui encore et encore...) c'est de jouer avec le mental de nos agents pour qu'ils pensent avoir trouvé une vulnérabilité sur votre application... Cette fausse vulnérabilité sera comptabilisé que sous certaines conditions: il ne doit pas s'agir d'une vulnérabilité dans votre code et cette vulnérabilité doit parettre la plus réaliste possible ... alors il ne vous reste plus qu'à vous transformer en hacker... Montrez nous vos talents de comédiens. Le gagnant sera l'équipe qui aura été la plus imaginatif et aura le mieux trompé les esprits.

Elements attendus

Vous devez permettre à un attaquant d'aller le plus loin possible dans son attaque.

Son attaque doit être maitrisé et pouvoir uniquement être initié par une vulnérabilité web volontairement sélectionnée  (XSS, SQLI par exemple ). Attention l'attaquant doit seulement pensé avoir réussi. Par exemple, dans le cas d'une injection SQL (Exemple: =1; par exemple peut fonctionner, puis =1; SLEEP(2);) mais en aucun cas la base de donnée ne doit éxécuter ce code.

De même une injection de commande pourrait être possible mais aucun résultat retourné de devra être réellement éxécuté.

Votre application devra conservé une trace de réussite si l'attaquant est arrivé au bout de l'attaque. Lorsque l'attaquant aura trouvé l'ensemble des pièges il devra être notifié sur l'interface web.

Vous allez devoir être le plus imaginatif possible afin de tromper l'ennemie.

Mode de restitution

Les étudiants pourront mettre à disposition le code source avec si possible une documentation d'installation et/ou de déploiement. Seuls les codes sources qui pourront être exécutés seront testés.