PENTESTWEB – Tests d’intrusion des serveurs et des applications Web

octobre, 2023

This is a repeating event

lun09oct(oct 9)09:30ven13(oct 13)16:00PENTESTWEB - Tests d'intrusion des serveurs et des applications Web

Détails de l'événement

L’infrastructure Web expose directement votre société aux menaces externe. Renforcez vos défenses en sécurisant efficacement tous les vecteurs exploités par les attaquants !

Pour en savoir plus et connaître le tarif de la formation consultez la fiche formation.

Consulter la fiche

La formation se déroule au Campus Cyber parisien sauf mention contraire dans votre convocation.

Téléphone : +33 9 74 77 43 90

Métro ligne 1 station Esplanade de la Défense (Sortie N°3 – Quai De Dion-Bouton Quartier Bellini)

Parking à proximité :
Parking Q-Park Puteaux Michelet – 8 rue Michelet, 92 800 Puteaux (Tél. : 01 47 78 16 52)

Date

9 (Lundi) 09:30 - 13 (Vendredi) 16:00

Prochaines dates de la formation

15 avril 2024 09:30 - 19 avril 2024 18:00

5 jours / 35 heures - Horaires : Le lundi : de 9h30 à 12h00 et de 13h30 à 17h30/18h00. Du mardi au vendredi : de 09h00 à 12h00 et de 13h30/14h00 à 16h00/16h30.

L’infrastructure Web expose directement votre société aux menaces externe. Renforcez vos défenses en sécurisant efficacement tous les vecteurs exploités par les attaquants !

S'inscrire
Télécharger la fiche de cette formation

Bon à savoirsur cette formation

  • Objectifs
    • Éduquer vos équipes de développement aux risques et aux enjeux de la sécurité applicative en mettant en application l’ensemble des points clés du standard OWASP
    • Être en mesure d’augmenter rapidement la qualité et la sécurité de leurs développements de façon pertinente et efficace.
  • Pré-requis
    • Expérience en programmation, idéalement en développement Web
    • Connaissance de base en cybersécurité, par exemple suivi de la formation SECUCYBER est un plus
  • Méthode pédagogique
    • Cours magistral illustré par des exercices guidés pas à pas
    • Résolution de challenges de sécurité réaliste de type Capture The Flag (CTF)
  • Public visé
    • Personnes ayant un profil technique souhaitant acquérir les connaissances suffisantes pour sécuriser leurs développements Web :
    • DevSecOps
    • Programmeurs
    • Développeurs
    • Architectes
    • Chefs de projet
    • Consultants cybersécurité
  • Certification
    •  A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification PENTESTWEB par HS2.
  • Matériel
    • Support de cours au format papier en français
    • Ordinateur portable mis à disposition du stagiaire
    • Cahier d'exercices et corrections des exercices
    • Certificat attestant de la participation à la formation
  • Formateurs
    • Matthieu Caron
    • Cédric Bertrand
    • Romain Du Marais
  • Pour aller plus loin
    •  

       

       

       

       

       

       

       

       

       

       

       

       

       

       

Objectifs Pré-requis Méthode pédagogique Public visé Certification Matériel Formateurs Pour aller plus loin
  • Éduquer vos équipes de développement aux risques et aux enjeux de la sécurité applicative en mettant en application l’ensemble des points clés du standard OWASP
  • Être en mesure d’augmenter rapidement la qualité et la sécurité de leurs développements de façon pertinente et efficace.
  • Expérience en programmation, idéalement en développement Web
  • Connaissance de base en cybersécurité, par exemple suivi de la formation SECUCYBER est un plus
  • Cours magistral illustré par des exercices guidés pas à pas
  • Résolution de challenges de sécurité réaliste de type Capture The Flag (CTF)
  • Personnes ayant un profil technique souhaitant acquérir les connaissances suffisantes pour sécuriser leurs développements Web :
  • DevSecOps
  • Programmeurs
  • Développeurs
  • Architectes
  • Chefs de projet
  • Consultants cybersécurité
  •  A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification PENTESTWEB par HS2.
  • Support de cours au format papier en français
  • Ordinateur portable mis à disposition du stagiaire
  • Cahier d'exercices et corrections des exercices
  • Certificat attestant de la participation à la formation
Matthieu Caron
Cédric Bertrand
Romain Du Marais
  •  

     

     

     

     

     

     

     

     

     

     

     

     

     

     

Programme du cours

Introduction aux risques et aux enjeux de la sécurité applicative

  • Quelques idées reçues
  • La couche applicative – Une surface d’attaque de choix
  • Prise en main de l’environnement de travaux pratiques

 

Rappels sur les technologies web

  • Encodages (URL, HTML, Base64)
  • HTTP / HTTPS
  • Utilisation d’un proxy Web pour intercepter, analyser et modifier les échanges HTTP(S)

 

Introduction aux techniques d’attaque et aux mécanismes de défense

  • Présentation de l’OWASP (guides, outils et TOP 10 de l’OWASP Web)
  • Attaques et mécanismes de défense
  • Utilisation du scanner de vulnérabilité OWASP ZAP

 

La phase de reconnaissance utilisée avant d’attaquer une application

  • Axes de fuite d’informations techniques
  • Utilisation d’outils de “Crawling” et d’outils de collecte d’information

 

Le mécanisme de gestion de l’authentification (attaque et défense)

  • Mécanismes d’authentification les plus rencontrés
  • Failles / Attaques qui ciblent le mécanisme d’authentification
  • Moyens de défense permettant de sécuriser le mécanisme d’authentification
  • “Brute-force” d’un mécanisme d’authentification
  • Interception de données en transit (Sniffing)

 

Le mécanisme de gestion de la session (attaque et défense)

  • Rappel autour des sessions
  • Failles / Attaques qui ciblent le mécanisme de gestion de la session
  • Moyens de défense permettant de sécuriser le mécanisme de gestion de la session
  • Exploitation de la faille permettant la fixation de session

 

Le mécanisme de gestion des autorisations (attaque et défense)

  • Droits horizontaux et droits verticaux
  • Failles / Attaques qui ciblent le mécanisme de gestion des autorisations
  • Attaques de type Cross-Site Request Forgery (CSRF)
  • Attaques de type File Inclusion (RFI / LFI) et Path Traversal
  • Moyens de défense permettant de sécuriser le mécanisme de gestion des autorisations
  • Exploitation d’une faille de type Path Traversal

 

La gestion des entrées utilisateurs (injection de code)

  • Les différents types d’attaques permettant l’injection de code (SQL, HQL, LDAP, commandes, etc.) et le principe général de ce type d’attaque
  • Moyens de défense permettant de sécuriser vos entrées utilisateurs
  • Exploitation de failles de type Injection SQL manuellement et de façon automatique (via l’utilisation d’un outil)

 

Les attaques ciblant les autres utilisateurs (attaque de type cross-site)

  • Attaques de type Cross-Site Scripting (XSS)
  • Le cas des clients riches JavaScript (AngularJS, Backbone, Ember, NodeJS, ReactJS, etc.)
  • Moyens de défense permettant de sécuriser la navigation de vos utilisateurs et de se protéger contre l’injection de code HTML / JavaScript
  • Mise en œuvre de différents scénarios d’attaques reposant sur l’exploitation d’une faille de type Cross-Site Scripting (modification de l’affichage, vol de session, redirection arbitraire, etc.)

 

Sécurité de la journalisation, de la gestion des erreurs et des exceptions

  • Principe et enjeux de la journalisation des évènements de sécurité
  • Stockage d’informations sensibles dans les journaux et attaques de type injection de “logs”
  • Principe et enjeux de la gestion des erreurs et des exceptions
  • Axes de prévention et bonnes pratiques dans le domaine

 

 Sécurité des services web (Front end JavaScript, API SOAP & REST)

  • Front-end à base de clients riches JavaScript
  • Les failles des clients riches JavaScript
  • Services Web SOAP et REST
  • Failles des Services Web SOAP et des Services REST
  • Axes de prévention et bonnes pratiques dans le domaine

 

HS2, centre de formation en cybersécurité

S'inscrire à la formation

    Je souhaite en savoir plus et connaître le tarif de la formation.
    Session souhaitée
    * HS2 traite les données recueillies par le présent formulaire pour traiter vos demandes d’inscription. ** Les champs avec des * sont obligatoires. Les autres informations nous permettent d’améliorer le traitement de votre demande et notre relation client.
    Pour en savoir plus et exercer vos droits, consultez notre Politique Vie privée.