Aperçu du cours
Depuis quelques temps maintenant la sécurité réseau est bien prise en compte avec la mise en place de pare-feu dans les box opérateurs et le durcissement de la sécurité des systèmes d’exploitation qui tend à se généraliser. Mais qu’en est-il des vulnérabilités au sein des applications Web qui sont un vecteur majeur d’attaques ?
Cette formation englobe analyse et compréhension des différents éléments axés applications web pour une exploration du domaine des vulnérabilité et attaques orientées WEB : XSS, CSRF, SQLI, LFI sont un aperçu des techniques qui seront abordées.
À la suite de cette formation, sera acquis une compréhension globale des vulnérabilités web les plus critiques, ainsi que les moyens de les exploiter mais surtout de les sécuriser.
La formation sera effectuée sous un angle « pratique », au sein d’un laboratoire.
Prérequis
- Avoir suivi la formation Hacking & sécurité – Le Framework Metasploit, ou avoir des connaissances équivalentes
- Culture dans la sécurité des SI
- Culture dans la sécurité des applications web
- Connaissance en programmation Web (PHP, JavaScript, HTML)
Objectifs pédagogiques
- Audit de sécurité des applications web
- Comprendre l’architecture et analyser la surface d’attaque des applications web
- Exploitation basique et avancée
- Adopter une approche offensive
- Protéger les applications web
- Structuration des connaissances
- Mise en situation réelle d’attaque des applications web
Public ciblé
- Auditeurs de sécurité
- Développeurs chargés de la sécurité des applications web
- Responsables DSI
- Consultants en sécurité informatique
- Responsables sécurité informatique
- Toute personne en charge de la sécurité informatique
Programme de formation
-
Reconnaissance
-
Introduction
-
OWASP
-
Utilisation de Burp
-
Scanning & Reconnaissance
-
Outils Scanning Proxy & Nessus
-
-
Exploitation
-
Introduction
-
RFI & LFI
-
Directory Traversal
-
Cross Site Scripting (XSS)
-
Cross Site Request Forgery
-
SQL Injection
-
SQL Injection en aveugle (Blind SQL Injection)
-
Injection de Commandes
-
Server Side Request Forgery (SSRF)
-
XML external entity (XXE)
-
Server-side template Injection
-
Attaques par déserialisation
-
Les attaques Out of Band
-
Erreurs de logiques
-
-
Attaque sur l\'authentification
-
Introduction
-
Session Hijacking
-
Énumération des utilisateurs
-
Brute Force
-
Failles de contrôle d’accès
-
-
CMS
-
Introduction
-
Attaques sur les CMS
-
Sécurisation CMS
-
-
TLS / SSL
-
Rappel sur le protocole TLS / SSL
-
Les attaques sur TLS / SSL
-
Recommandation de configuration
-
-
Contremesures et reporting
-
Contremesures
-
Reporting
-
Instructeur
