Auditer et sécuriser un site Web
Votre formation intensive sur l’audit et la sécurisation d’un site Web vous offre une compréhension approfondie des technologies Web et des menaces de cybersécurité les plus courantes. Découvrez les principaux langages, les frameworks, les CMS, ainsi que les différentes attaques et comment les classer. Apprenez à installer un serveur LAMP, à effectuer des contrôles côté client et à identifier les vulnérabilités d’authentification. Acquérir des compétences pratiques sur l’identification des injections SQL, les failles de sécurité et comment les prévenir. Devenez expert en utilisation d’outils d’audit automatiques et manuels pour sécuriser vos applications Web.
Lire la suitePrérequis
- Notion de développement d’application Web ;
- Connaissances de base sur Apache, PHP et MySQL ;
- Bases d’utilisation de Linux.
Public admis
- Salarié en Poste
- Entreprise
Demandeur d'emploi et Etudiant non admis
Financement
- Votre OPCO
- Financement personnel
Financement CPF non pris en charge
Modalités
- En centre
- En entreprise
- À distance
Objectifs pédagogiques
- Auditer une application Web par un test de pénétration à l'aide d'outils automatiques mais aussi manuellement ;
- Mettre en place des contres mesures pour se prémunir des attaques.
Programme de la formation
Les technologies du Web
- Historique
- Les langages les plus utilisés
- Les Frameworks
- Les CMS
Tour d'horizon des attaques sur le Web
- Qui ? Pourquoi ? Comment ?
- Les cibles les plus courantes
Classification des attaques Web
- Présentation de l'OWASP
- Classification des dix attaques les plus courantes
Installation d'un serveur LAMP
- Installation
- Tour d'horizon des éléments de sécurité dans les fichiers de configuration
-
- Fichiers de configuration d'apache
- Fichier de configuration de PHP
- Fichier de configuration de MySQL
Passage des contrôles côté client
- Les outils inclus dans les navigateurs
- Utilisation d'un proxy local (ZAP, BurpSuite)
- Utilisation d'addons (Tamper Data, Web developper, etc)
- Débogage de JavaScript (principe d'obfuscation)
- Bonne pratique et règle de sécurité pour les contrôles côté client
Technique d'hameçonnage par injection dans l'URL
Les failles XSS
- Faille XSS reflétées
- Faille XSS stockées
- Exemple de récupération de session
- Se prémunir des failles XSS
Passage d'authentification
- Les bonnes pratiques
-
- Gérer correctement les IDs de session
- Politiques des mots de passe
- Les authentifications HTTP
Les injections SQL classiques
- Rappels sur les bases de données
- Principe des injections SQL
- Exemples et exercices pratiques
Les injections SQL en aveugle
- Principe
- Exploitation
- Exemples et exercices
Détection et exploitation des injections SQL
- Par des outils automatiques
- Manuellement
Se prémunir des injections SQL
La faille Include
- Exploitation d'une faille include
- Bonnes pratiques pour se prémunir des failles includes
La faille Upload
- Passage des extensions et types MME
- Mise en place d'un shell
- Saturation du serveur
- Contre mesure
Les outils d'audit automatiques
- ZAP
- W3AF
- Acunetix
- Burpsuite
Interprétation et vérification des résultats
- Interpréter les résultats d'un outil automatique
- Vérifier la véracité des alertes remontées
Synthèse des bonnes pratiques pour la réalisation d'une application Web

Proposé par
ENI Service
"votre centre de formation informatique de confiance"