Audit de site Web (AUDWEB)

Actualisé: 08/12/2022

À propos du cours: Audit de site Web (AUDWEB).

Ce cours vous apprendra à mettre en place une véritable procédure d’audit de site Web. Vous serez confronté aux problématiques de la sécurité des applications Web. Vous y étudierez le déroulement d’un audit, aussi bien d’un côté méthodologique que d’un côté technique. Les différents aspects d’une analyse seront mis en avant à travers plusieurs exercices pratiques.

Cette formation est destinée aux personnes qui souhaitent pouvoir effectuer des tests techniques lors d’un audit ou d’un déploiement de sites Web.

Accessibilités aux personnes handicapées : La Loi du 5 septembre 2018 pour la « liberté de choisir son avenir professionnel » a pour objectif de faciliter l’accès à l’emploi des personnes en situation de handicap. Sysdream tente de donner à tous les mêmes chances d’accéder ou de maintenir l’emploi. Nous pouvons adapter certaines de nos modalités de formation, pour cela n’hésitez pas à nous solliciter pour étudier ensemble vos besoins. Pour cela merci prendre contact avec Mélissa Mendes Da Silva (m.mendes@sysdream.com).

Objectifs

Comprendre les méthodes de prise d’information
Prendre en main l’outil Burp Suite
Comprendre les attaques XSS et CSRF
Mettre en pratique les attaques par injection
Exploiter les Inclusions et l’envoi de fichiers (LFI/RFI)
Comprendre et exploiter les XXE et SSTI
Appliquer l’ensemble des attaques abordées durant les précédents jours sur un nouveau scénario dédié

Code: AUDWEB
Durée: 3 jours (21H)
Prix: consulter les prochaines dates ci-dessous
Horaire: 9h30 - 17h30
Lieu: 14 place Marie-Jeanne Bassot, 92300 Levallois-Perret, France

Télécharger le programme

Besoin de plus d'informations ?

Contactez-nous

Prochaines dates:

Date de début	Lieu de formation	Prix
21/02/2024	14 place Marie-Jeanne Bassot, 92300 Levallois-Perret	2760€ HT	Audit de site Web (AUDWEB).:21/02/2024 - 23/02/2024 Prénom * Ce champ est requis Nom * Ce champ est requis Adresse email * L'entrée n'est pas une adresse e-mail valide Téléphone professionnel * Ce champ est requis Fonction * Ce champ est requis Société Ce champ est requis J'accepte que mes données personnelles soient traitées par le Groupe Hub One et ses filiales à des fins de prospection commerciale par courrier électronique, SMS ou téléphone. Pour plus d’informations, veuillez prendre connaissance de notre Politique de confidentialité. Je reconnais avoir pris connaissance des Conditions générales d'utilisation et de la Politique de confidentialité de SysDream, et je les accepte. Ce champ est requis Ce champ est requis Champs manquants Le captcha n'est pas correct Merci ! Votre demande a bien été prise en compte. Nos équipes vont vous recontacter dans les plus brefs délais. Les champs marqués par * doivent être obligatoirement remplis afin de pouvoir procéder à votre demande de contact. Vous vous engagez à ne fournir que des informations exactes et sincères. Les données collectées via ce formulaire sont traitées par Hub One sur la base de son intérêt légitime afin d’examiner et de répondre à vos demandes de contact et/ou vos questions. Vous disposez de droits (accès, rectification, effacement de vos données ainsi que limitation et opposition au traitement) que vous pouvez exercer auprès du Délégué à la protection des données de Hub One à l’adresse suivante : dpd@hubone.fr. En cas d’échec, vous disposez également d’un droit de réclamation auprès de la CNIL. Pour plus d’informations, veuillez prendre connaissance de notre politique de confidentialité
03/07/2024	14 place Marie-Jeanne Bassot, 92300 Levallois-Perret	2760€ HT	Audit de site Web (AUDWEB).:03/07/2024 - 05/07/2024 Prénom * Ce champ est requis Nom * Ce champ est requis Adresse email * L'entrée n'est pas une adresse e-mail valide Téléphone professionnel * Ce champ est requis Fonction * Ce champ est requis Société Ce champ est requis J'accepte que mes données personnelles soient traitées par le Groupe Hub One et ses filiales à des fins de prospection commerciale par courrier électronique, SMS ou téléphone. Pour plus d’informations, veuillez prendre connaissance de notre Politique de confidentialité. Je reconnais avoir pris connaissance des Conditions générales d'utilisation et de la Politique de confidentialité de SysDream, et je les accepte. Ce champ est requis Ce champ est requis Champs manquants Le captcha n'est pas correct Merci ! Votre demande a bien été prise en compte. Nos équipes vont vous recontacter dans les plus brefs délais. Les champs marqués par * doivent être obligatoirement remplis afin de pouvoir procéder à votre demande de contact. Vous vous engagez à ne fournir que des informations exactes et sincères. Les données collectées via ce formulaire sont traitées par Hub One sur la base de son intérêt légitime afin d’examiner et de répondre à vos demandes de contact et/ou vos questions. Vous disposez de droits (accès, rectification, effacement de vos données ainsi que limitation et opposition au traitement) que vous pouvez exercer auprès du Délégué à la protection des données de Hub One à l’adresse suivante : dpd@hubone.fr. En cas d’échec, vous disposez également d’un droit de réclamation auprès de la CNIL. Pour plus d’informations, veuillez prendre connaissance de notre politique de confidentialité
13/11/2024	14 place Marie-Jeanne Bassot, 92300 Levallois-Perret	2760€ HT	Audit de site Web (AUDWEB).:13/11/2024 - 15/11/2024 Prénom * Ce champ est requis Nom * Ce champ est requis Adresse email * L'entrée n'est pas une adresse e-mail valide Téléphone professionnel * Ce champ est requis Fonction * Ce champ est requis Société Ce champ est requis J'accepte que mes données personnelles soient traitées par le Groupe Hub One et ses filiales à des fins de prospection commerciale par courrier électronique, SMS ou téléphone. Pour plus d’informations, veuillez prendre connaissance de notre Politique de confidentialité. Je reconnais avoir pris connaissance des Conditions générales d'utilisation et de la Politique de confidentialité de SysDream, et je les accepte. Ce champ est requis Ce champ est requis Champs manquants Le captcha n'est pas correct Merci ! Votre demande a bien été prise en compte. Nos équipes vont vous recontacter dans les plus brefs délais. Les champs marqués par * doivent être obligatoirement remplis afin de pouvoir procéder à votre demande de contact. Vous vous engagez à ne fournir que des informations exactes et sincères. Les données collectées via ce formulaire sont traitées par Hub One sur la base de son intérêt légitime afin d’examiner et de répondre à vos demandes de contact et/ou vos questions. Vous disposez de droits (accès, rectification, effacement de vos données ainsi que limitation et opposition au traitement) que vous pouvez exercer auprès du Délégué à la protection des données de Hub One à l’adresse suivante : dpd@hubone.fr. En cas d’échec, vous disposez également d’un droit de réclamation auprès de la CNIL. Pour plus d’informations, veuillez prendre connaissance de notre politique de confidentialité

Public visé

Consultants en sécurité
Développeurs
Ingénieurs / Techniciens

Pré-requis

Maîtrise des protocoles réseaux TCP/IP et HTTP/HTTPS
Connaissances sur le développement Web et le fonctionnement des applications Web
Connaissance des systèmes Linux et Windows.

Ressources

Support de cours
70% d’exercices pratiques
1 PC par personne / Internet

Programme

Méthodes mobilisées : Cette formation est construite avec une alternance de cours théoriques et de cas pratiques afin de favoriser l’acquisition des savoirs du programme (cf. Ressources).
Modalités d’évaluation : les objectifs sont régulièrement évalués tout au long de la formation (70% d'exercices pratiques) et formalisés sous forme de grille d’évaluation des compétences en fin de module par le formateur.

Jour 1 : Introduction
- Rappel méthodologie d'audit : Boite noire, Boite grise
- Plan d'action :
  - Prise d'information
  - Scan
  - Recherche et exploitation de vulnérabilités
  - Rédaction du rapport
Reconnaissance
- - Reconnaissance passive :
  Base de données WHOIS,
  Services en ligne
  - Netcraft
  - Robtex
  - Shodan
  - Archives:
  Moteurs de recherche,
  Réseaux sociaux,
  Outils
- - Reconnaissance active :
  Visite du site comme un utilisateur,
  Recherche de page d'administration,
  Recherche de fichiers présents par défaut,
  robots.txt, sitemap,
  Détection des technologies utilisées,
- Contremesures :
  Limiter l'exposition réseau,
  Filtrer les accès aux pages d'administration et aux pages sensibles,
  Remplacer les messages d'erreurs verbeux par des messages génériques
Scan
- Les différents types de scanner :
  Scanner de ports,
  Scanner de vulnérabilité,
  Scanners dédiés
- Limites des scanners
Jour 2 : Vulnérabilités
- Vulnérabilités de conception :
  
  - Politique de mise à jour
  
  - Chiffrement des communications
  
  - Politique de mot de passe:
  Mots de passe par défaut,
  Mots de passe faibles,
  Stockage des mots de passe
  - Isolation intercomptes:
  Accès aux données d'autres utilisateurs,
  Modification d'informations personnelles
  - Gestion des sessions :
  Sessions prédictibles,
  Session transitant dans l'URL
  - Contremesures :
  Mise à jour des applications et des systèmes,
  Chiffrement des communications,
  Utilisation et stockage des mots de passe,
  Vérification des droits utilisateurs,
  Système de session non prédictible avec une entropie élevée,
  Drapeaux des cookies
Vulnérabilités Web
- Mise en place d'une solution de Proxy (Burp Suite)
- - Cross-Site Scripting (XSS) :
  XSS Réfléchie,
  XSS Stockée,
  XSS Dom-Based,
  Contournement des protections,
  Démonstration avec l'outil d'exploitation BeEF,
  Contremesures
- - Cross-Site Request Forgery (CSRF) :
  Exploitation d’un CSRF
  Requête HTTP GET
  Requête HTTP POST
  Contremesures
- - Injection SQL :
  Injection dans un SELECT,
  Injection dans un INSERT,
  Injection dans un UPDATE,
  Injection dans un DELETE,
  Technique d’exploitation – UNION,
  Technique d’exploitation – Injections booléennes,
  Technique d’exploitation – Injection dans les messages d’erreurs,
  Technique d’exploitation – Injection par délais,
  Technique d’exploitation – Injection dans des fichiers,
  Exemple d’utilisation avec SQLMap,
  Contremesures
- - Injection de commandes :
  Chainage de commandes,
  Options des commandes,
  Exploitation,
  Exemple d’exploitation avec commix,
  Contremesures,
- - Service Side Includes (SSI) :
  Exemples d’attaques,
  Contremesures
- - Injection d’objet :
  Exploitation,
  Contremesures
Jour 3 : Vulnérabilités Web (suite)
- Inclusion de fichier :
  - Inclusion de fichiers locaux (LFI)
  - Inclusion de fichiers distants (RFI)
  - Contremesures
- Envoi de fichier (Upload) :
  - Exploitation basique
  - Vérification de Content-type
  - Blocage des extensions dangereuses
  - Contremesures
- XML External Entity (XXE) :
  - Les entités:
  Entités générales,
  Entités paramètres,
  Entités caractères,
  - Entités externes:
  Découverte de la vulnérabilité,
  Exploitation de la vulnérabilité,
  Contremesures
- Service Side Template Injection (SSTI)
  Exemple d’utilisation de Twig
  Exemple d’exploitation sur Twig
  Exemple d’exploitation sur Flask
  Contremesures
Challenge final
- Mise en situation d'audit d'une application Web

Formations associées

Bootcamp Exploitation de Vulnérabilités Applicatives (BEVA)

Maîtrisez l'ensemble des techniques d'exploitation applicatives

Découvrir la formation

Certification

Certified Ethical Hacker v12 (CEH) - Certifiante

Préparez-vous à la certification CEH en apprenant les dernières techniques d'Ethical Hacking

Découvrir la formation

Certification

Certified Information Systems Auditor (CISA) - Certifiante

Préparation à la certification CISA

Découvrir la formation

E-LEARNING : SENSIBILISATION À LA CYBERSÉCURITÉ (E-SAC)

Comprendre pour appréhender au mieux les menaces informatiques

Découvrir la formation

Hacking et Sécurité : Expert v4 (HSE)

Une analyse poussée de l’attaque pour mieux vous défendre

Découvrir la formation

Hacking & Sécurité : Avancé v6 (HSA)

Pratiquez les attaques avancées pour mieux vous défendre

Découvrir la formation

Hacking & Sécurité : les Fondamentaux (HSF)

Apprenez les fondamentaux de la sécurité informatique !

Découvrir la formation

MENER UN AUDIT TECHNIQUE AU SEIN D’UN SI (AUDSI)

Mettez en place des audits techniques de sécurité au sein de votre SI

Découvrir la formation

Sécurité des Applications Mobiles (SAM)

Apprenez techniques et méthodes pour découvrir des vulnérabilités sur applications Android & iOS

Découvrir la formation

Sécurité Windows & Active Directory (SWAD)

Comprendre et pratiquer les attaques spécifiques aux infrastructures Windows Active Directory

Découvrir la formation

Test d'intrusion : Mise en situation d'audit (TEST-INT)

Le test d’intrusion (pentest) par la pratique

Découvrir la formation

Recherche et exploitation de vulnérabilités sur applications Android & iOS (REVAI)

Apprenez techniques et méthodes pour découvrir des vulnérabilités sur applications Android & iOS

Découvrir la formation

BUG BOUNTY (BUG)

Découvrez l’univers de « Bug Bounty »

Découvrir la formation

PYTHON POUR LE TEST D’INTRUSION (PYTPEN)

Développement et exploitation avec Python pour les tests d'intrusion

Découvrir la formation

Cookies strictement nécessaires

Ces cookies permettent de détecter votre langue, de conserver vos choix en matière de cookies, de mémoriser si vous avez fermé une fenêtre « pop-up » et de mesurer l’audience du site. Ces cookies permettent la fourniture du site et sont donc strictement nécessaires au fonctionnement de ce dernier et ne peuvent pas être désactivés.

PHPSESSID, pll_language, tarteaucitron, matchadform, _pk_id.26.b623, MATOMO_SESSID

Toujours actifs

Cookies vidéos Youtube

Ces cookies sont déposés par des entités tierces et permettent le bon fonctionnement des vidéos YouTube insérées sur le présent site. Attention : le refus de ces cookies peut avoir une incidence sur le fonctionnement des vidéos. Vous pouvez refuser ou accepter l’utilisation des cookies de cette catégorie

Google Youtube

Cookies statistiques et marketing

Ces cookies permettent de comprendre comment les visiteurs interagissent avec le site afin d’améliorer le service et le confort de navigation. Vous pouvez refuser ou accepter l’utilisation des cookies de cette catégorie :

Cookies statistiques et marketing