PENTESTWEB – Tests d’intrusion des serveurs et des applications Web

Prochaines Dates de la Formation

    5 jours / 35 heures - Horaires : Le lundi : de 9h30 à 12h00 et de 13h30 à 17h30/18h00. Du mardi au vendredi : de 09h00 à 12h00 et de 13h30/14h00 à 16h00/16h30.

    L’infrastructure Web expose directement votre société aux menaces externe. Renforcez vos défenses en sécurisant efficacement tous les vecteurs exploités par les attaquants !

    Tweetez
    Partagez
    Partagez
    S'inscrire
    Télécharger la fiche de cette formation

    Bon à savoir sur cette formation

    • Objectifs
      • Éduquer vos équipes de développement aux risques et aux enjeux de la sécurité applicative en mettant en application l’ensemble des points clés du standard OWASP
      • Être en mesure d’augmenter rapidement la qualité et la sécurité de leurs développements de façon pertinente et efficace.
    • Pré-requis
      • Expérience en programmation, idéalement en développement Web
      • Connaissance de base en cybersécurité, par exemple suivi de la formation SECUCYBER est un plus
    • Méthode pédagogique
      • Cours magistral illustré par des exercices guidés pas à pas
      • Résolution de challenges de sécurité réaliste de type Capture The Flag (CTF)
    • Public visé
      • Personnes ayant un profil technique souhaitant acquérir les connaissances suffisantes pour sécuriser leurs développements Web :
      • DevSecOps
      • Programmeurs
      • Développeurs
      • Architectes
      • Chefs de projet
      • Consultants cybersécurité
    • Certification
      •  A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification PENTESTWEB par HS2.
    • Matériel
      • Support de cours au format papier en français
      • Ordinateur portable mis à disposition du stagiaire
      • Cahier d'exercices et corrections des exercices
      • Certificat attestant de la participation à la formation
    • Formateurs
      • Matthieu Caron
      • Cédric Bertrand
      • Romain Du Marais
    • Pour aller plus loin

      •  

         

         

         

         

         

         

         

         

         

         

         

         

         

         

    Objectifs Pré-requis Méthode pédagogique Public visé Certification Matériel Formateurs Pour aller plus loin
    • Éduquer vos équipes de développement aux risques et aux enjeux de la sécurité applicative en mettant en application l’ensemble des points clés du standard OWASP
    • Être en mesure d’augmenter rapidement la qualité et la sécurité de leurs développements de façon pertinente et efficace.
    • Expérience en programmation, idéalement en développement Web
    • Connaissance de base en cybersécurité, par exemple suivi de la formation SECUCYBER est un plus
    • Cours magistral illustré par des exercices guidés pas à pas
    • Résolution de challenges de sécurité réaliste de type Capture The Flag (CTF)
    • Personnes ayant un profil technique souhaitant acquérir les connaissances suffisantes pour sécuriser leurs développements Web :
    • DevSecOps
    • Programmeurs
    • Développeurs
    • Architectes
    • Chefs de projet
    • Consultants cybersécurité
    •  A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification PENTESTWEB par HS2.
    • Support de cours au format papier en français
    • Ordinateur portable mis à disposition du stagiaire
    • Cahier d'exercices et corrections des exercices
    • Certificat attestant de la participation à la formation
    Matthieu Caron
    Cédric Bertrand
    Romain Du Marais

    •  

       

       

       

       

       

       

       

       

       

       

       

       

       

       

    Programme du cours

    Introduction aux risques et aux enjeux de la sécurité applicative

    • Quelques idées reçues
    • La couche applicative – Une surface d’attaque de choix
    • Prise en main de l’environnement de travaux pratiques

     

    Rappels sur les technologies web

    • Encodages (URL, HTML, Base64)
    • HTTP / HTTPS
    • Utilisation d’un proxy Web pour intercepter, analyser et modifier les échanges HTTP(S)

     

    Introduction aux techniques d’attaque et aux mécanismes de défense

    • Présentation de l’OWASP (guides, outils et TOP 10 de l’OWASP Web)
    • Attaques et mécanismes de défense
    • Utilisation du scanner de vulnérabilité OWASP ZAP

     

    La phase de reconnaissance utilisée avant d’attaquer une application

    • Axes de fuite d’informations techniques
    • Utilisation d’outils de “Crawling” et d’outils de collecte d’information

     

    Le mécanisme de gestion de l’authentification (attaque et défense)

    • Mécanismes d’authentification les plus rencontrés
    • Failles / Attaques qui ciblent le mécanisme d’authentification
    • Moyens de défense permettant de sécuriser le mécanisme d’authentification
    • “Brute-force” d’un mécanisme d’authentification
    • Interception de données en transit (Sniffing)

     

    Le mécanisme de gestion de la session (attaque et défense)

    • Rappel autour des sessions
    • Failles / Attaques qui ciblent le mécanisme de gestion de la session
    • Moyens de défense permettant de sécuriser le mécanisme de gestion de la session
    • Exploitation de la faille permettant la fixation de session

     

    Le mécanisme de gestion des autorisations (attaque et défense)

    • Droits horizontaux et droits verticaux
    • Failles / Attaques qui ciblent le mécanisme de gestion des autorisations
    • Attaques de type Cross-Site Request Forgery (CSRF)
    • Attaques de type File Inclusion (RFI / LFI) et Path Traversal
    • Moyens de défense permettant de sécuriser le mécanisme de gestion des autorisations
    • Exploitation d’une faille de type Path Traversal

     

    La gestion des entrées utilisateurs (injection de code)

    • Les différents types d’attaques permettant l’injection de code (SQL, HQL, LDAP, commandes, etc.) et le principe général de ce type d’attaque
    • Moyens de défense permettant de sécuriser vos entrées utilisateurs
    • Exploitation de failles de type Injection SQL manuellement et de façon automatique (via l’utilisation d’un outil)

     

    Les attaques ciblant les autres utilisateurs (attaque de type cross-site)

    • Attaques de type Cross-Site Scripting (XSS)
    • Le cas des clients riches JavaScript (AngularJS, Backbone, Ember, NodeJS, ReactJS, etc.)
    • Moyens de défense permettant de sécuriser la navigation de vos utilisateurs et de se protéger contre l’injection de code HTML / JavaScript
    • Mise en œuvre de différents scénarios d’attaques reposant sur l’exploitation d’une faille de type Cross-Site Scripting (modification de l’affichage, vol de session, redirection arbitraire, etc.)

     

    Sécurité de la journalisation, de la gestion des erreurs et des exceptions

    • Principe et enjeux de la journalisation des évènements de sécurité
    • Stockage d’informations sensibles dans les journaux et attaques de type injection de “logs”
    • Principe et enjeux de la gestion des erreurs et des exceptions
    • Axes de prévention et bonnes pratiques dans le domaine

     

     Sécurité des services web (Front end JavaScript, API SOAP & REST)

    • Front-end à base de clients riches JavaScript
    • Les failles des clients riches JavaScript
    • Services Web SOAP et REST
    • Failles des Services Web SOAP et des Services REST
    • Axes de prévention et bonnes pratiques dans le domaine

     

    HS2, centre de formation en cybersécurité

    S'inscrire à la formation

      Je souhaite en savoir plus et connaître le tarif de la formation.
      Session souhaitée
      * HS2 traite les données recueillies par le présent formulaire pour traiter vos demandes d’inscription. ** Les champs avec des * sont obligatoires. Les autres informations nous permettent d’améliorer le traitement de votre demande et notre relation client.
      Pour en savoir plus et exercer vos droits, consultez notre Politique Vie privée.
      ©HS2 2024 - Vie privée - Mentions légales - CGV
      N° d’organisme : 11922236092 Datatocké Hébergé avec <3 par DigDeo