Stage sécurité de fin d’études
R&D : Développement d’outils de Pentest - 6 mois
Créée en 1997, CONIX est positionnée sur le marché de la Sécurité des Systèmes d’Information depuis près de 10 ans, en environnement grand compte, au travers de sa Business Unit CONIX Security. Ce positionnement lui permet d’être toujours au plus près des besoins des acteurs majeurs de l’industrie, des finances et des télécommunications.
Dans le cadre des prestations d’audit sécurité, des besoins spécifiques concernant l’analyse des configurations des Firewalls et l’élaboration de scénarios d’exploitation complexes des vulnérabilités web, deviennent prépondérants.
Il devient donc important de concevoir et de développer des outils open-source qui automatiseraient les tâches récurrentes de revue des configurations et qui permettraient aussi l’exploitation poussée des vulnérabilités web dans un environnement hautement protégé (contournement d’IDS, d’Antivirus, etc.).
Objectifs et éléments attendus de la part du stagiaireL’objectif de ce stage sera de répondre à cette problématique via la conception et le développement d’un ou des deux outils suivants :
Outil d’analyse des configurations Firewalls :
Etablir un état de l’art sur les algorithmes utilisés pour la détection automatisée d’anomalies de configuration dans un environnement distribué ou centralisé. Concevoir et développer un outil capable de : importer plusieurs fichiers de configurations provenant de différents équipements réseaux. visualiser sous la forme d’un graph orienté l’ensemble des règles de filtrage des équipements réseaux. détecter les règles de filtrages redondantes ou qui se chevauchent proposer une optimisation des règles de filtrages inter-firewalls ou intra-firewalls
Outil de génération de Web-Shells et d’exploitation avancée :
Etablir un état de l’art sur les Web-Shells utilisés pour les environnements ASP.Net, PHP et J2EE. Concevoir une maquette et réaliser des tests comparatifs (fonctionnalités, contournement d’IDS, contournement d’antivirus, etc.) Concevoir et implémenter un Framework de Web-Shell Cross-Platform pour les environnements PHP, ASP.Net et J2EE. Le but est d’avoir une seule application qui permettrait la génération du Web-Shell, le contournement des IDS et AntiVirus et l’utilisation du Web-Shell. Concevoir et implémenter une brique d’exploitation avancée basée sur les projets Open-Source suivants : https://github.com/sensepost/reDuh ou http://www.secforce.com/research/tunna.html. L’idée est de pouvoir encapsuler du trafic SSH, MySQL, RDP, etc. dans un flux HTTP afin d’attaquer des cibles/services inaccessibles pour l’attaquant.
ProfilPré-requis : de formation BAC+5 en informatique (école d'ingénieur ou universitaire), vous recherchez un stage de fin d'études et souhaitez développer vos compétences fonctionnelles et techniques dans le domaine de la Sécurité SI. Vous êtes autonome, rigoureux et passionné.
Des connaissances en sécurité web, réseaux, systèmes, développement Java, C# .Net et PHP sont souhaitées.