PENTESTWEB - « Tests d’intrusion des serveurs et des applications Web» Version 2024
Description
L'infrastructure Web expose directement votre société aux menaces externe. Renforcez vos défenses en sécurisant efficacement tous les vecteurs exploités par les attaquants !
Contenu du cours
Le test d’intrusion
-
Méthodologie et type de tests
-
Équipement et outils
-
Législation
-
Déroulement de l’audit
-
Gestion des informations et des notes
-
Clôture de l’audit
-
Pour aller plus loin
Le proxy applicatif
-
Usages
-
Burpsuite, Zap...
Les mécanismes du Web
-
Le protocole HTTP (méthodes, entêtes, codes de retours, encodage...)
-
Les risques du modèle client/serveur
La sécurité du client
-
La SOP
-
Les communications "cross-domain"
-
Contournements CORS
-
Contournements CSP
-
Open Redirect
Cryptographie
-
SSL/TLS
-
Les suites cryptographiques
-
Renegociation non sécurisée
-
Audits et contrôles
-
La PKI
-
Le cassage de condensats
Reconnaissance et fuite d'informations
-
Introduction et objectifs
-
Découverte passive
-
Résolutions DNS et registres o
-
Détournement de sous-domaine
-
OSINT
-
Les Googles Dorks
-
Les fuites
-
-
Découverte active
-
Le transfert de zone
-
Le balayage de ports
-
Découverte de serveurs web
-
Prévisualisation des applications
-
Crawling et Spidering
-
Le WAF
-
-
Le scan de vulnérabilités
Les processus d'authentification
-
Gestion de l’identité
-
Les attaques sur l'authentification
-
XML Signature Wrapping
-
Détournement d’Oauth
-
La gestion des sessions
-
Les jetons de session
-
Les cookies
-
Jetons JWT
-
Forge de requêtes inter-sites (CSRF)
-
Fixation de session
-
Forge de jetons de session
-
Le cloisonnement des sessions
-
Référence directe à des objets non sécurisés (IDOR)
Les injections
-
Les injections coté client
-
L'injection XSS
-
-
Les injections côté serveur
-
L’attaque CRLF (et response splitting)
-
Les injections de commandes
-
L'injection XXE
-
L'injection SQL
-
Quelques injections moins fréquentes (XPath, LDAP, NoSQL)
-
Les injections via sérialisation/désérialisation
-
Forge de requête côté client (SSRF)
-
Les injections de fichiers
-
Le téléversement de fichiers
-
Les inclusions de fichiers locaux et distants
Les Webservices et API
Certification
A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification PENTESTWEB.
* Formation distanciel possible :
-
de votre entreprise
-
de chez vous
-
de nos locaux à Sophia Antipolis (équipement Cisco Webex Board)
Nos formations sont accessibles aux personnes en situation de handicap.
Un questionnaire envoyé en amont de la formation invite les participants à nous contacter s’ils ont besoins d’aménagements spécifiques en lien avec leur situation de handicap. Nous nous employons à rechercher, avec les personnes concernées, les moyens de compensation qui leur seront adaptés.
Pour en valider l'accès merci de nous contacter contact@formation-IT.org
Durée
5 jours soit 35 heures
Tarif Public
3.780 € HT (examen de certification inclus)
Dates
à Paris (distanciel* possible sur mesure. Nous contacter)
-
9 - 13 octobre 📌
Public concerné
Quiconque souhaite comprendre et pratiquer les techniques utilisées par les attaquants pour
compromettre un système d’information depuis Internet :
-
Pentesters
-
RSSI
-
Chefs de projets
-
Développeurs
-
Architectes
-
Administrateurs systèmes
Objectifs pédagogiques
-
Anticiper les besoins des tests d’intrusion
-
Comprendre les principales vulnérabilités du web
-
Analyser les risques encourus
-
Détecter les failles de sécurité
-
Exploiter les vulnérabilités pour prendre le contrôle de l’infrastructure
Pré requis
-
Aucun prérequis
-
Des notions d'utilisation d'une distribution Linux est un plus
Modalité d'évaluation de la formation
À l’issue de la formation, une fiche d’évaluation est remise aux stagiaires, afin qu’ils puissent donner leurs impressions.
Méthode pédagogique
Cours magistral avec travaux pratiques et échanges interactifs. La formation est proposée en mode présentiel et accessible en mode distanciel via ZOOM pour ceux qui ne veulent pas se déplacer.
Support
-
Support de cours numérique en Français projeté
-
Support de cours en Français imprimé en présentiel / au format numérique en distanciel après
signature du règlement intérieur -
Cahier d'exercices
-
Cahier de corrections
-
Ordinateur portable prêté pour la réalisation des exercices
Profil formateur
Instructeur certifié Pentestweb
Délai d’accès
Se référer aux dates figurant au planning
Sanction de la formation
Une attestation mentionnant les objectifs, la nature et la durée de l’action et les résultats de l’évaluation des acquis de la formation sera remise au(x) stagiaire(s) à l’issue de la formation
Évaluations et sanctions de la formation
-
Quizz intermédiaires
-
Lab technique en fin de module
-
Évaluation de satisfaction via un questionnaire pré formation, à chaud et à froid
-
Attestation de présence et de formation
📌 date confirmée
🚩 date presque garantie
💻 distanciel