Accueil > Développement informatique et DevOps > Audit de Sécurité de Sites Web
Formation #DEV143

Formation Audit de Sécurité de Sites Web

Durée : 4 jours

Code : DEV143


Prochaines dates programmées :

Du 26 au 29 Mars 2024

Du 23 au 26 Juil. 2024

Du 12 au 15 Nov. 2024

Fin d'Inscription :
Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email : Au minimum 15 JOURS OUVRÉS avant la date de formation.
Si vous avez un besoin URGENT et que vous souhaitez une date de formation plus proche que les sessions programmées (minimum 15 à 20 jours ouvrés à date de votre demande)

Objectifs

  • Auditer une application Web par un test de pénétration à l'aide d'outils automatiques mais aussi manuellement
  • Mettre en place des contres mesures pour se prémunir des attaques
Programme
1/ Tour d'horizon des attaques sur le Web
  • Qui ? Pourquoi ? Comment ?
  • Les cibles les plus courantes
2/ Classification des attaques Web
  • Présentation de l'OWASP
  • Classification des dix attaques les plus courantes
3/ Technologies liées à la sécurité
  • Firewalls, panorama des outils, techniques de base réseaux
  • Filtres des requêtes HTTP
  • Empreinte de message, les algorithmes SHA-x et MD5
  • Signature numérique, Clé publique/ clé privée, Coffre à clé et coffre de confiance, Autorités de certification
  • Chiffrement de données, les algorithmes AES et RSA
  • Protocoles SSL v2/v3 et TLS, PKI, certificats X509
  • Techniques d'authentification HTTP, authentification par certificat
4/ Passage des contrôles côté client
  • Les outils inclus dans les navigateurs
  • Utilisation d'un proxy local (ZAP, BurpSuite)
  • Utilisation d'addons (Tamper Data, Web developper, etc)
  • Débogage de JavaScript (principe d'obfuscation)
  • Bonne pratique et règle de sécurité pour les contrôles côté client
5/ Technique d'hameçonnage par injection dans l'URL 6/ Les failles XSS
  • Faille XSS reflétées
  • Faille XSS stockées
  • Exemple de récupération de session
  • Se prémunir des failles XSS
7/ Passage d'authentification
  • Les bonnes pratiques
  • Gérer correctement les IDs de session
  • Politiques des mots de passe
  • Les authentifications HTTP
8/ Les injections SQL classiques
  • Rappels sur les bases de données
  • Principe des injections SQL
9/ Les injections SQL en aveugle
  • Principe
  • Exploitation
10/ Détection et exploitation des injections SQL
  • Par des outils automatiques
  • Manuellement
11/ Se prémunir des injections SQL 12/ La faille Include
  • Exploitation d'une faille include
  • Bonnes pratiques pour se prémunir des failles includes
13/ La faille Upload
  • Passage des extensions et types MME
  • Mise en place d'un shell
  • Saturation du serveur
  • Contre mesure
14/ Les outils d'audit automatiques
  • ZAP
  • W3AF
  • Acunetix
  • Burpsuite
15/ Interprétation et vérification des résultats
  • Interpréter les résultats d'un outil automatique
  • Vérifier la véracité des alertes remontées
Approche Pédagogique

Approche Pédagogique

  • Pédagogie très opérationnelle fondée sur l'alternance entre théorie et pratique
  • Cas pratiques
  • Remise d’outils
  • Echanges d’expériences
Public Cible

Personnes Visées

  • Développeurs
  • Administrateurs de sites et serveurs Web
Dates

Dates

  • Du 26 au 29 Mars 2024
  • Du 23 au 26 Juil. 2024
  • Du 12 au 15 Nov. 2024
  • Fin d'Inscription :
    Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email : Au minimum 15 JOURS OUVRÉS avant la date de formation.