PENTESTWEB - « Tests d’intrusion des serveurs et des applications Web» Version 2022

Pentest1.jpg

Description

L'infrastructure Web expose directement votre société aux menaces externe. Renforcez vos défenses en sécurisant efficacement tous les vecteurs exploités par les attaquants ! 

Contenu du cours

 

Le test d’intrusion 

  • Méthodologie et type de tests 

  • Équipement et outils 

  • Législation 

  • Déroulement de l’audit 

  • Gestion des informations et des notes 

  • Clôture de l’audit 

  • Pour aller plus loin 

 

Le proxy applicatif 

  • Usages 

  • Burpsuite, Zap... 

 

Les mécanismes du Web 

  • Le protocole HTTP (méthodes, entêtes, codes de retours, encodage...) 

  • Les risques du modèle client/serveur 

 

La sécurité du client 

  • La SOP 

  • Les communications "cross-domain" 

  • Contournements CORS 

  • Contournements CSP 

  • Open Redirect 

 

Cryptographie 

  • SSL/TLS 

  • Les suites cryptographiques 

  • Renegociation non sécurisée 

  • Audits et contrôles 

  • La PKI 

  • Le cassage de condensats 

 

Reconnaissance et fuite d'informations 

  • Introduction et objectifs 

  • Découverte passive 

    • Résolutions DNS et registres o

    • Détournement de sous-domaine 

    • OSINT 

    • Les Googles Dorks 

    • Les fuites 

  • Découverte active 

    • Le transfert de zone 

    • Le balayage de ports

    • Découverte de serveurs web 

    • Prévisualisation des applications 

    • Crawling et Spidering 

    • Le WAF 

  • Le scan de vulnérabilités 

 

Les processus d'authentification 

  • Gestion de l’identité 

  • Les attaques sur l'authentification 

    • XML Signature Wrapping 

    • Détournement d’Oauth 

 

La gestion des sessions 

  • Les jetons de session 

  • Les cookies 

  • Jetons JWT 

  • Forge de requêtes inter-sites (CSRF) 

  • Fixation de session 

  • Forge de jetons de session 

  • Le cloisonnement des sessions 

  • Référence directe à des objets non sécurisés (IDOR) 

 

Les injections 

  • Les injections coté client 

    • L'injection XSS 

  • Les injections côté serveur 

    • L’attaque CRLF (et response splitting) 

    • Les injections de commandes 

    • L'injection XXE 

    • L'injection SQL 

    • Quelques injections moins fréquentes (XPath, LDAP, NoSQL) 

    • Les injections via sérialisation/désérialisation 

    • Forge de requête côté client (SSRF) 

 

Les injections de fichiers 

  • Le téléversement de fichiers 

  • Les inclusions de fichiers locaux et distants 
     

Les Webservices et API 

Certification

A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification PENTESTWEB.

  •  

* Formation distanciel possible :

  • de votre entreprise

  • de chez vous

  • de nos locaux à Sophia Antipolis (équipement Cisco Webex Board)

Nos formations sont accessibles aux personnes en situation de handicap.

Un questionnaire envoyé en amont de la formation invite les participants à nous contacter s’ils ont besoins d’aménagements spécifiques en lien avec leur situation de handicap. Nous nous employons à rechercher, avec les personnes concernées, les moyens de compensation qui leur seront adaptés.

Pour en valider l'accès merci de nous contacter contact@formation-IT.org

Durée 

5 jours soit 35 heures

Tarif Public

3.600 € HT (examen de certification inclus)

Dates

à Paris (distanciel* possible sur mesure. Nous contacter)​ 

  • 14 - 18 novembre

 

Public concerné

Quiconque souhaite comprendre et pratiquer les techniques utilisées par les attaquants pour 
compromettre un système d’information depuis Internet : 

  • Pentesters 

  • RSSI 

  • Chefs de projets 

  • Développeurs 

  • Architectes 

  • Administrateurs systèmes

Objectifs pédagogiques

  • Anticiper les besoins des tests d’intrusion 

  • Comprendre les principales vulnérabilités du web 

  • Analyser les risques encourus 

  • Détecter les failles de sécurité 

  • Exploiter les vulnérabilités pour prendre le contrôle de l’infrastructure 

Pré requis 

  •  Aucun prérequis 

  • Des notions d'utilisation d'une distribution Linux est un plus

Modalité d'évaluation de la formation

À l’issue de la formation, une fiche d’évaluation est remise aux stagiaires, afin qu’ils puissent donner leurs impressions.
 

Méthode pédagogique

Cours magistral avec travaux pratiques et échanges interactifs. La formation est proposée en mode présentiel et accessible en mode distanciel via ZOOM pour ceux qui ne veulent pas se déplacer.


 

Support

  •  Support de cours numérique en Français projeté 

  • Support de cours en Français imprimé en présentiel / au format numérique en distanciel après 
    signature du règlement intérieur 

  • Cahier d'exercices 

  • Cahier de corrections 

  • Ordinateur portable prêté pour la réalisation des exercices

Profil formateur 

Instructeur certifié Pentestweb

Délai d’accès 

Se référer aux dates figurant au planning

Sanction de la formation 

Une attestation mentionnant les objectifs, la nature et la durée de l’action et les résultats de l’évaluation des acquis de la formation sera remise au(x) stagiaire(s) à l’issue de la formation 

Évaluations et sanctions de la formation

  • Quizz intermédiaires 

  • Lab technique en fin de module

  • Évaluation de satisfaction via un questionnaire pré formation, à chaud et à froid

  • Attestation de présence et de formation 

📌 date confirmée

🚩 date presque garantie

💻 distanciel

Sur le même thème