Auditer et sécuriser un site Web

Qualiopi

Votre formation intensive sur l’audit et la sécurisation d’un site Web vous offre une compréhension approfondie des technologies Web et des menaces de cybersécurité les plus courantes. Découvrez les principaux langages, les frameworks, les CMS, ainsi que les différentes attaques et comment les classer. Apprenez à installer un serveur LAMP, à effectuer des contrôles côté client et à identifier les vulnérabilités d’authentification. Acquérir des compétences pratiques sur l’identification des injections SQL, les failles de sécurité et comment les prévenir. Devenez expert en utilisation d’outils d’audit automatiques et manuels pour sécuriser vos applications Web.

Durée 28h en 4 jours
Localisation Partout en France
Logo de ENI Service - Auditer et sécuriser un site Web

Proposé par

ENI Service

Prérequis

  • Notion de développement d’application Web ;
  • Connaissances de base sur Apache, PHP et MySQL ;
  • Bases d’utilisation de Linux.

Public admis

  • Salarié en Poste
  • Entreprise

Demandeur d'emploi et Etudiant non admis

Financement

  • Votre OPCO
  • Financement personnel

Financement CPF non pris en charge

Modalités

  • En centre
  • En entreprise
  • À distance

Objectifs pédagogiques

  • Auditer une application Web par un test de pénétration à l'aide d'outils automatiques mais aussi manuellement ;
  • Mettre en place des contres mesures pour se prémunir des attaques.

Programme de la formation

Les technologies du Web

  • Historique
  • Les langages les plus utilisés
  • Les Frameworks
  • Les CMS

Tour d'horizon des attaques sur le Web

  • Qui ? Pourquoi ? Comment ?
  • Les cibles les plus courantes

Classification des attaques Web

  • Présentation de l'OWASP
  • Classification des dix attaques les plus courantes

Installation d'un serveur LAMP

  • Installation
  • Tour d'horizon des éléments de sécurité dans les fichiers de configuration
    • Fichiers de configuration d'apache
    • Fichier de configuration de PHP
    • Fichier de configuration de MySQL

Passage des contrôles côté client

  • Les outils inclus dans les navigateurs
  • Utilisation d'un proxy local (ZAP, BurpSuite)
  • Utilisation d'addons (Tamper Data, Web developper, etc)
  • Débogage de JavaScript (principe d'obfuscation)
  • Bonne pratique et règle de sécurité pour les contrôles côté client

Technique d'hameçonnage par injection dans l'URL

Les failles XSS

  • Faille XSS reflétées
  • Faille XSS stockées
  • Exemple de récupération de session
  • Se prémunir des failles XSS

Passage d'authentification

  • Les bonnes pratiques
    • Gérer correctement les IDs de session
    • Politiques des mots de passe
  • Les authentifications HTTP

Les injections SQL classiques

  • Rappels sur les bases de données
  • Principe des injections SQL
  • Exemples et exercices pratiques

Les injections SQL en aveugle

  • Principe
  • Exploitation
  • Exemples et exercices

Détection et exploitation des injections SQL

  • Par des outils automatiques
  • Manuellement

Se prémunir des injections SQL

La faille Include

  • Exploitation d'une faille include
  • Bonnes pratiques pour se prémunir des failles includes

La faille Upload

  • Passage des extensions et types MME
  • Mise en place d'un shell
  • Saturation du serveur
  • Contre mesure

Les outils d'audit automatiques

  • ZAP
  • W3AF
  • Acunetix
  • Burpsuite

Interprétation et vérification des résultats

  • Interpréter les résultats d'un outil automatique
  • Vérifier la véracité des alertes remontées

Synthèse des bonnes pratiques pour la réalisation d'une application Web

Logo de ENI Service - Formation Auditer et sécuriser un site Web

Proposé par

ENI Service

"votre centre de formation informatique de confiance"

Voir la fiche entreprise
Logo de ENI Service - Auditer et sécuriser un site Web

Auditer et sécuriser un site Web

0 ville proposant cette formation
Logo

La 1ère plateforme pour trouver une formation, choisir son orientation ou construire son projet de reconversion.

© 2024 France Carrière. Tous droits réservés.