Tester la capacité de piratage du site Web d’examens en ligne ProctorExam

Tester la capacité de piratage du site Web d’examens en ligne ProctorExam

Category : Uncategorized

Tester la capacité de piratage du site Web d’examens en ligne ProctorExam à l’aide de techniques de test de pénétration de logiciels.

En mars 2018, l’équipe du projet OP4RE de l’Université du Hertfordshire, en la personne du Dr Stilianos Vidalis et de ses associés, a mis en place les moyens de tester le potentiel de pénétration illégale du site Web ProctorExam.

Dans la proposition de projet Erasmus+ originale soumise en mars 2016, nous avions identifié cette activité comme un domaine important à explorer, conformément à l’identification des futures lignes directrices à présenter dans le rapport final sur la sécurité. L’objectif de cet exercice était donc de démontrer si un étudiant en ligne typique serait capable d’accéder à une zone non protégée des serveurs ProctorExam et de pénétrer illégalement dans la sécurité de tout aspect des systèmes d’évaluation en ligne. Bien entendu, le système Proctor Exam fonctionne déjà avec son propre système sécurisé conçu pour contrer les attaques professionnelles typiques et autres tentatives de piratage.

La norme PTES (Penetration Testing Execution Standard) a été utilisée conjointement avec les méthodologies de l’Open Web Application Security Project (OWASP) comme base de référence pour la réalisation des tests par Stilianos.

Le processus exige l’accord initial des cas d’utilisation typiques et des scénarios pour identifier des exemples de personnes susceptibles de vouloir attaquer ou pirater le système d’évaluation en ligne, et leur motivation, soit pour voler ou modifier les données stockées sur le site, soit pour entraver gravement l’activité légitime. Pendant une période de 24 heures, des tentatives intenses et persistantes ont ensuite été faites pour accéder illégalement aux serveurs ProctorExam, mais aucun accès non autorisé n’a été possible, l’attaque par déni de service n’a pas été couronnée de succès et aucune fuite d’information n’a été détectée.

Il sera important de noter dans le rapport final du projet que toutes les organisations fournisseurs d’évaluations en ligne sécurisées devraient être capables de résister à une attaque simulée similaire afin de garantir aux futurs utilisateurs et partenaires que les évaluations sont effectuées dans un environnement sécurisé où les données personnelles des étudiants et les détails de leurs performances sont protégés et inaccessibles aux utilisateurs non autorisés.


Leave a Reply