Tests d’intrusion des serveurs et des applications Web
Tests d’intrusion des serveurs et des applications Web
Cybersécurité et IA > Cybersécurité
Objectifs
- Anticiper les besoins des tests d’intrusion.
- Comprendre les principales vulnérabilités du web.
- Analyser les risques encourus.
- Détecter les failles de sécurité.
- Exploiter les vulnérabilités pour prendre le contrôle de l’infrastructure.
Le programme de la formation
Le test d’intrusion
Méthodologie et type de tests
Équipement et outils
Législation
Déroulement de l’audit
Gestion des informations et des notes
Clôture de l’audit
Pour aller plus loin
Le proxy applicatif
Usages
Burpsuite, Zap...
Les mécanismes du Web
Le protocole HTTP (méthodes, entêtes, codes de retours, encodage...)
Les risques du modèle client/serveur
La sécurité du client
La SOP
Les communications "cross-domain"
Contournements CORS
Contournements CSP
Open Redirect
Cryptographie
SSL/TLS
Les suites cryptographiques
Renegociation non sécurisée
Audits et contrôles
La PKI
Le cassage de condensats
Reconnaissance et fuite d'informations
Introduction et objectifs
Découverte passive
- Résolutions DNS et registres
- Détournement de sous-domaine
- OSINT
- Les Googles Dorks
- Les fuites
Découverte active
- Le transfert de zone
- Le balayage de ports
- Découverte de serveurs web
- Prévisualisation des applications
- Crawling et Spidering
- Le WAF
Le scan de vulnérabilités
Les processus d'authentification
Gestion de l’identité
Les attaques sur l'authentification
- XML Signature Wrapping
- Détournement d’Oauth
La gestion des sessions
Les jetons de session
Les cookies
Jetons JWT
Forge de requêtes inter-sites (CSRF)
Fixation de session
Forge de jetons de session
Le cloisonnement des sessions
Référence directe à des objets non sécurisés (IDOR)
Les injections
Les injections coté client
- L'injection XSS
Les injections côté serveur
- L’attaque CRLF (et response splitting)
- Les injections de commandes
- L'injection XXE
- L'injection SQL
- Quelques injections moins fréquentes (XPath, LDAP, NoSQL)
- Les injections via sérialisation/dé-sérialisation
- Forge de requête côté client (SSRF)
Les injections de fichiers
Le téléversement de fichiers
Les inclusions de fichiers locaux et distants
Les Webservices et API
Le fonctionnement des Webservices (XML-RPC, SOAP, REST)
Les websockets
Méthodologie d’intrusion
Les applications mobiles
Le Cloud
Méthodologies et spécificités
Quelques outils
Vulnérabilités
Les vulnérabilités plus complexes
Tour d'horizon (Buffer Overflow...)
Méthodologie d’exploitation
Public et Pré-requis de la formation
Quiconque souhaite comprendre et pratiquer les techniques utilisées par les attaquants pour compromettre un système d’information depuis Internet : Pentesters, RSSI, Chefs de projets, Développeurs, Architectes et Administrateurs systèmes.
Aucun prérequis.
Des notions d'utilisation d'une distribution Linux est un plus.
Méthode pédagogique de la formation
Cours magistral avec travaux pratiques et échanges interactifs. La formation est proposée en mode présentiel et accessible en mode distanciel via ZOOM pour ceux qui ne veulent pas se déplacer.
29 Commentaires
Formation flexible en petit groupe
Très bonne formation! Organisation rapide et on est bien conseillé. Merci up up formation, je recommande fortement!!
Formation intéressante avec de bons échanges et une formatrice à l'écoute.
Merci up up concernant la flexibilite de mon planning
Bien.
Une organisation à la fois simple et professionnelle
bien mais surprenant concernant le paiement
Une formation adaptée à ce que je désirais m’a été trouvée avec succès
Bonne prestation Groupe sympathique
Société professionnelle, bon relationnel
Bonne formation
Simple et concis, une bonne présentation du concept
Je suis très satisfait d’UpUp. Le principe de la mutualisation est malin et très innovant. J’ai pu me former pour le 1/4 du prix initial de la formation. Je recommande.
Je suis particulièrement satisfaite de la formation surtout par la disponibilité de la formatrice et par le contenu du programme.
J'ai découvert cette plateforme très récemment. J'ai trouvé une formation près de chez moi dans le domaine recherché en quelques clics. Simple, efficace et rapide ! merci.
formation adaptée à mes besoins et mes horaires, je recommande vivement
Site clair. Offre complète
Claire facile d'acces ,rapide
Super formation. Merci beaucoup
Je recommande pour la qualité, la réactivité et la précision,
Simple, efficace, pratique !
très bonne formation très agréable merci
Site simple et facile d'utilisation.
Bonne formation
Site convivial facile d'accès et ergonomique prix intéressant
Excellente formation et concept innovant. Je recommande !
Upup est très professionnel, le site ergonomique.
Très clair, moderne et utile. N’hésitez pas à y aller, vous ne serez pas déçu
Un concept innovant. En mutualisant la formation, on assure un minimum de stagiaires par session.