Formation - Audit de sécurité de sites Web
Public admis
- Salarié en Poste
- Demandeur d'emploi
- Entreprise
- Etudiant
Financements
Eligible CPF Votre OPCO Financement personnel
Objectifs de la formation
- Cette formation fait l'objet d'une évaluation formative.
| Tarif |
Contacter l'organisme |
| Durée | 3 jours (21 heures) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
| Tarif |
Contacter l'organisme |
| Durée | 3 jours (21 heures) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
Programme
1 - Introduction
- Rappel méthodologie d'audit : boite noire, boite grise
- Plan d'action : prise d'information, scan, recherche et exploitation de vulnérabilités, rédaction du rapport
2 - Reconnaissance
- Reconnaissance passive : base de données WHOIS, services en ligne (Netcraft, Robtex, Shodan, Archives), moteurs de recherche, réseaux sociaux, outils
- Reconnaissance active : visite du site comme un utilisateur, recherche de page d'administration, recherche de fichiers présents par défaut, robots.txt, sitemap, détection des technologies utilisées
- Contre-mesures : limiter l'exposition réseau, filtrer les accès aux pages d'administration et aux pages sensibles, remplacer les messages d'erreurs verbeux par des messages génériques
3 - Scan
- Les différents types de scanner : scanner de ports, scanner de vulnérabilité, scanners dédiés
- Limites des scanners
4 - Vulnérabilités
- Vulnérabilités de conception : politique de mise à jour, chiffrement des communications, politique de mot de passe (par défaut, faibles, stockage des mots de passe), isolation intercomptes (accès aux données d'autres utilisateurs, modification d'informations personnelles), gestion des sessions (prédictibles, transitant dans l'URL), contremesures (mise à jour des applications et des systèmes, chiffrement des communications, utilisation et stockage des mots de passe, vérification des droits utilisateurs, système de session non prédictible avec une entropie élevée, drapeaux des cookies)
5 - Vulnérabilités Web
- Mise en place d'une solution de Proxy (Burp Suite)
- Cross-Site Scripting (XSS) : XSS réfléchie, XSS stockée, XSS Dom-Based, contournement des protections, démonstration avec l'outil d'exploitation BeEF, contremesures
- Cross-Site Request Forgery (CSRF) : exploitation d'un CSRF (requête HTTP GET et POST), contremesures
- Injection SQL : injection dans un SELECT, dans un INSERT, dans un UPDATE, dans un DELETE, technique d'exploitation – UNION, technique d'exploitation – Injections booléennes, technique d'exploitation – Injection dans les messages d'erreurs, technique d'exploitation – Injection par délais, technique d'exploitation – Injection dans des fichiers, exemple d'utilisation avec SQLMap, contremesures
- Injection de commandes : chainage de commandes, options des commandes, exploitation, exemple d'exploitation avec commix, contremesures
- Service Side Includes (SSI) : exemples d'attaques, contremesures
- Injection d'objet : exploitation, contremesures
- Inclusion de fichier : inclusion de fichiers locaux (LFI), inclusion de fichiers distants (RFI), contremesures
- Envoi de fichier (Upload) : exploitation basique, vérification de content-type, blocage des extensions dangereuses, contremesures
- XML External Entity (XXE) : les entités (entités générales, paramètres, caractères et externes), découverte de la vulnérabilité, exploitation de la vulnérabilité, contremesures
- Service Side Template Injection (SSTI) : exemple d'utilisation de Twig, exemple d'exploitation sur Twig, exemple d'exploitation sur Flask, contremesures
6 - Challenge final
- Mise en situation d'audit d'une application Web
Prérequis
- Avoir suivi la formation "Hacking et Sécurité - Niveau avancé" (SE101) ou disposer des compétences équivalentes
- Maîtrise des outils Linux
- Connaissance des langages de développement Web
Public
- Consultants en sécurité
- Développeurs
- Ingénieurs / Techniciens
Ces formations pourraient vous intéresser
Objectifs de la formation
- Cette formation fait l'objet d'une évaluation formative.
| Tarif |
Contacter l'organisme |
| Durée |
2 jours (14 heures) |
| Modes |
|
Objectifs de la formation
Couvrir les fondamentaux de la construction d'infrastructures informatiques sur Amazon Web Services (AWS) - Optimiser l'utilisation du Cloud AWS en comprenant les services AWS et leur intégration dans des solutions basées sur le cloud - Découvrir les meilleures pratiques pour le Cloud AWS applicables à toutes les solutions, tout en recommandant divers motifs de conception pour aider à concevoir des solutions informatiques optimales sur AWS - Explorer un scénario offrant l'opportunité de construire diverses infrastructures grâce à une approche pratique - Préparer la certification AWS Solutions Architect - Associate (SAA-C03), qui met l'accent sur la conception de solutions optimisées en termes de coûts et de performances| Tarif |
A partir de 3 875,00 € |
| Durée |
5j / 35h |
| Modes |
|
Objectifs de la formation
Mettre en oeuvre la haute disponibilité des services Bureau à distance| Tarif |
A partir de 1 475,00 € |
| Durée |
2j / 14h |
| Modes |
|
Objectifs de la formation
Maîtriser les fondamentaux du logiciel Adobe Animate CC pour l'animation Web et audiovisuelle| Tarif |
A partir de 1 975,00 € |
| Durée |
3j / 21h |
| Modes |
|
Objectifs de la formation
- Savoir utiliser le framework JSF
- Pouvoir démarrer un projet JSF
- Gérer la navigation
- Maîtriser le binding, les composants standards
- Connaître FacesContext
- Maîtriser les 6 étapes de traitement d'une requête JSF
- Créer ses propres validateurs et composants
- Savoir "Ajaxifier" une application JSF
| Tarif |
A partir de 1 650,00 € |
| Durée |
3 jours |
| Modes |
|
Objectifs de la formation
- Être capable d’intervenir efficacement face à une situation d’accident et, dans le respect de
- l’organisation de l’entreprise et des procédures spécifiques fixés en matière de prévention,
- de mettre en application ses compétences au profit de la santé et sécurité au travail
| Tarif |
Contacter l'organisme |
| Durée |
2j / 14h |
| Modes |
|
Objectifs de la formation
Analyser le risque et savoir sen protéger.Organiser et réaliser des travaux dordre non électrique en toute sécurité dans un environnement présentant des risques électriques.
Évaluer et manipuler du matériel et outillage de façon adaptée aux risques électriques.
Rendre compte de son activité.
| Tarif |
A partir de 552,00 € |
| Durée |
1j / 3h |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Reconnaître l'organisation du système de fichiers ainsi que les démons et processus d'une appliance Stormshield Network
- Localiser, explorer et manipuler les différents fichiers de configuration et de journalisation des activités (logs)
- Distinguer des particularités et anomalies dans une configuration réseau et routage
- Réaliser et étudier des captures de trafic réseau
- Etudier une politique de sécurité et en identifier les directives générales et les paramètres particuliers
- Identifier les traitements appliqués aux connexions en cours
- Produire un relevé d'informations adapté, complet et exploitable pour l'établissement d'un diagnostic
- Configurer des politiques de tunnels VPN IPSec, identifier les mécanismes activés et en diagnostiquer les dysfonctionnements
- Analyser et diagnostiquer une configuration en haute disponibilité.
| Tarif |
A partir de 3 950,00 € |
| Durée |
4j / 28h |
| Modes |
|
Objectifs de la formation
Maîtriser fonctionnalités avancées de d'Affinity Designer - Savoir créer des illustrations complexes| Tarif |
A partir de 875,00 € |
| Durée |
2j / 14h |
| Modes |
|
Objectifs de la formation
- Réaliser une veille documentaire efficace
- Analyser les pratiques de sécurité
- Analyser les accidents
| Tarif |
A partir de 1 390,00 € |
| Durée |
1j / 7h |
| Modes |
|
