Menu Recherche Panier
(...)
Vous êtes ici : Accueil > Formation Audit de sécurité de sites Web
Technique

Formation Audit de sécurité de sites Web

L'audit Web par la pratique

Il est largement connu que les sites web sont des cibles privilégiées pour les hackers. Et ce n’est pas surprenant dans la mesure où il est fréquent que ceux-ci ne soient pas suffisamment sécurisés. Souvent par manque d’information, parfois par précipitation (pour limiter le retard pris sur un projet, il n’est pas rare que certaines étapes importantes soient survolées ou même totalement négligées). Et les techniques d’attaque sont nombreuses : attaques matérielles, dialogue réseau, attaques systèmes, attaques des bases de données.... C’est pourquoi il est nécessaire, pour s’assurer de la sécurité des sites web, de pratiquer des audits très complets. Et cela ne doit pas s’improviser. Il faut en effet suivre des processus précis et complets pour ne passer à côté d’aucune faille. C’est ce qu’apprendront les participants à cette formation.

Objectifs de cette formation

Audit de sécurité de sites Web
  • Connaître les différents types de vulnérabilités des sites web et comprendre comment elles peuvent être exploitées
  • Comprendre comment augmenter le champ d’exploitation des vulnérabilités pour un test d'intrusion
  • Disposer de l’ensemble des connaissances et compétences nécessaires à la réalisation d’un audit de sécurité

Public

  • Consultants en sécurité
  • Développeurs
  • Ingénieurs / Techniciens

Pré-requis

Programme détaillé

Introduction

  • Rappel TCP/IP / Réseau Matériel
  • Protos / OSI - Adressage IP

Introduction à la veille

  • Vocabulaire
  • BDD de Vulnérabilités et Exploits
  • Informations générales

Prise d’information

  • Informations publiques
  • Moteur de recherche
  • Prise d’information active

Scan et prise d’empreinte

  • Énumération des machines
  • Scan de ports
  • Prise d’empreinte du système d’exploitation
  • Prise d’empreinte des services

Attaques réseau

  • Idle Host Scanning
  • Sniffing réseau
  • Spoofing réseau
  • Hijacking
  • Attaques des protocoles sécurisés
  • Dénis de service

Attaques système

  • Scanner de vulnérabilités
  • Exploitation d’un service vulnérable distant
  • Élévation de privilèges
  • Espionnage du système
  • Attaques via un malware : génération d'un malware avec Metasploit, encodage de payloads
  • Méthode de détection

Attaques Web

  • Cartographie du site et identification des fuites d'information
  • Failles PHP (include, fopen, Upload,etc.)
  • Injections SQL
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Bonnes pratiques

Attaques applicatives

  • Escape shell
  • Buffer overflow sous Linux : l’architecture Intel x86, les registres, la pile et son fonctionnement, présentation des méthodes d'attaques standards (écrasement de variables, contrôler EIP, exécuter un shellcode, prendre le contrôle du système en tant qu'utilisateur root)

Challenge final

  • Mise en pratique des connaissances acquises sur un TP final

Les plus de cette formation

Audit de sécurité de sites Web
  • La formation permettra aux participants d'acquérir par la pratique les connaissances nécessaires à la mise en place d'une véritable procédure d’audit de site Web
  • Une formation très pratique : les différents aspects d’une analyse seront mis en avant à travers de nombreux exercices pratiques (70% du temps de la formation est consacré aux TP).
  • Les participants bénéficient des retours d’expérience de consultants experts en cybersécurité

Informations

Dimension Digitale

  • Durée : 3 Jours (21h)
  • Réf. : SE109


Bon à savoir...

= une réponse possible
= plusieurs réponses possibles

Vous n'avez pas répondu à toutes les questions !
Vous avez % de bonnes réponses, vous pouvez donc suivre cette formation.
Vous avez % de bonnes réponses.
Nous vous invitons à contacter nos Conseillers Formation au 0825 07 6000 afin qu'ils vous orientent vers une formation plus adaptée à vos connaissances.