Hacking & Sécurité - Les vulnérabilités Web
Formation créée le 20/05/2021. Dernière mise à jour le 23/01/2024.
Version du programme : 1
Programme de la formation
Depuis quelques temps maintenant la sécurité réseau est bien prise en compte avec la mise en place de pare-feu dans les box opérateurs et le durcissement de la sécurité des systèmes d’exploitation qui tend à se généraliser. Mais qu’en est-il des vulnérabilités au sein des applications Web qui sont un vecteur majeur d’attaques ? Cette formation englobe analyse et compréhension des différents éléments axés applications web pour une exploration du domaine des vulnérabilité et attaques orientées WEB : XSS, CSRF, SQLI, LFI sont un aperçu des techniques qui seront abordées. À la suite de cette formation, sera acquis une compréhension globale des vulnérabilités web les plus critiques, ainsi que les moyens de les exploiter mais surtout de les sécuriser. La formation sera effectuée sous un angle « pratique », au sein d’un laboratoire.
Objectifs de la formation
- Audit de sécurité des applications web
- Comprendre l’architecture et analyser la surface d’attaque des applications web
- Exploitation basique et avancée
- Adopter une approche offensive
- Protéger les applications web
- Structuration des connaissances
- Mise en situation réelle d’attaque des applications web
Profil des bénéficiaires
- Auditeurs de sécurité, développeurs chargés de la sécurité des applications web, responsables DSI, consultants en sécurité informatique, responsables sécurité informatique, et toute personne en charge de la sécurité informatique…
- Avoir suivi la formation Hacking & sécurité – Le Framework Metasploit, ou avoir des connaissances équivalentes
- Culture dans la sécurité des SI
- Culture dans la sécurité des applications web
- Connaissance en programmation Web (PHP, JavaScript, HTML)
Contenu de la formation
-
Reconnaissance
- Introduction
- OWASP
- Utilisation de Burp
- Scanning & Reconnaissance
- Outils Scanning Proxy & Nessus
-
Exploitation
- Introduction
- RFI & LFI
- Directory Traversal
- Cross Site Scripting (XSS)
- Cross Site Request Forgery
- SQL Injection
- SQL Injection en aveugle (Blind SQL Injection)
- Injection de Commandes
- Server Side Request Forgery (SSRF)
- XML external entity (XXE)
- Server-side template Injection
- Attaques par déserialisation
- Les attaques Out of Band
- Erreurs de logiques
-
Attaque sur l'authentification
- Introduction
- Session Hijacking
- Énumération des utilisateurs
- Brute Force
- Failles de contrôle d’accès
-
CMS
- Introduction
- Attaques sur les CMS
- Sécurisation CMS
-
TLS / SSL
- Rappel sur le protocole TLS / SSL
- Les attaques sur TLS / SSL
- Recommandation de configuration
-
Contremesures et reporting
- Contremesures
- Reporting
Professionnel dans la cybersécurité
- Feuilles de présence
- Mises en situation
- Formulaires d'évaluation de la formation
- Certificat de réalisation de l’action de formation
- Émergement numérique
- Documents supports de formation projetés
- Exposés théoriques
- Etude de cas concrets
- Mise à disposition en ligne de documents supports à la suite de la formation
- Espace intranet de formation