Gestion des cookies

Pour offrir les meilleures expériences possibles, nous utilisons des technologies telles que les cookies pour stocker et/ou accéder aux informations des appareils. Le fait de ne pas consentir ou de retirer son consentement peut avoir un effet négatif sur certaines caractéristiques et fonctions.

Voir notre Politique de protection des données pour plus d'informations.

Formation - Audit de sécurité de sites Web

Public admis

  • Salarié en Poste
  • Demandeur d'emploi
  • Entreprise
  • Etudiant

Financements

Eligible CPF Votre OPCO Financement personnel

Objectifs de la formation

  • Cette formation fait l'objet d'une évaluation formative.
Logo de la marque IB Cegos

IB Cegos


Formations aux technologies et métiers du Numérique
Voir la fiche entreprise
Tarif

Contacter l'organisme

Durée 3 jours (21 heures)
Modes
  • Distance
  • Centre
Sessions
Lieux Partout en France

IB Cegos


Formations aux technologies et métiers du Numérique
Voir la fiche
Tarif

Contacter l'organisme

Durée 3 jours (21 heures)
Modes
  • Distance
  • Centre
Sessions
Lieux Partout en France

Programme

1 - Introduction

  • Rappel méthodologie d'audit : boite noire, boite grise
  • Plan d'action : prise d'information, scan, recherche et exploitation de vulnérabilités, rédaction du rapport

2 - Reconnaissance

  • Reconnaissance passive : base de données WHOIS, services en ligne (Netcraft, Robtex, Shodan, Archives), moteurs de recherche, réseaux sociaux, outils
  • Reconnaissance active : visite du site comme un utilisateur, recherche de page d'administration, recherche de fichiers présents par défaut, robots.txt, sitemap, détection des technologies utilisées
  • Contre-mesures : limiter l'exposition réseau, filtrer les accès aux pages d'administration et aux pages sensibles, remplacer les messages d'erreurs verbeux par des messages génériques

3 - Scan

  • Les différents types de scanner : scanner de ports, scanner de vulnérabilité, scanners dédiés
  • Limites des scanners

4 - Vulnérabilités

  • Vulnérabilités de conception : politique de mise à jour, chiffrement des communications, politique de mot de passe (par défaut, faibles, stockage des mots de passe), isolation intercomptes (accès aux données d'autres utilisateurs, modification d'informations personnelles), gestion des sessions (prédictibles, transitant dans l'URL), contremesures (mise à jour des applications et des systèmes, chiffrement des communications, utilisation et stockage des mots de passe, vérification des droits utilisateurs, système de session non prédictible avec une entropie élevée, drapeaux des cookies)

5 - Vulnérabilités Web

  • Mise en place d'une solution de Proxy (Burp Suite)
  • Cross-Site Scripting (XSS) : XSS réfléchie, XSS stockée, XSS Dom-Based, contournement des protections, démonstration avec l'outil d'exploitation BeEF, contremesures
  • Cross-Site Request Forgery (CSRF) : exploitation d'un CSRF (requête HTTP GET et POST), contremesures
  • Injection SQL : injection dans un SELECT, dans un INSERT, dans un UPDATE, dans un DELETE, technique d'exploitation – UNION, technique d'exploitation – Injections booléennes, technique d'exploitation – Injection dans les messages d'erreurs, technique d'exploitation – Injection par délais, technique d'exploitation – Injection dans des fichiers, exemple d'utilisation avec SQLMap, contremesures
  • Injection de commandes : chainage de commandes, options des commandes, exploitation, exemple d'exploitation avec commix, contremesures
  • Service Side Includes (SSI) : exemples d'attaques, contremesures
  • Injection d'objet : exploitation, contremesures
  • Inclusion de fichier : inclusion de fichiers locaux (LFI), inclusion de fichiers distants (RFI), contremesures
  • Envoi de fichier (Upload) : exploitation basique, vérification de content-type, blocage des extensions dangereuses, contremesures
  • XML External Entity (XXE) : les entités (entités générales, paramètres, caractères et externes), découverte de la vulnérabilité, exploitation de la vulnérabilité, contremesures
  • Service Side Template Injection (SSTI) : exemple d'utilisation de Twig, exemple d'exploitation sur Twig, exemple d'exploitation sur Flask, contremesures

6 - Challenge final

  • Mise en situation d'audit d'une application Web

Prérequis

Public

  • Consultants en sécurité
  • Développeurs
  • Ingénieurs / Techniciens

Ces formations pourraient vous intéresser

Formation Associations et collectivités territoriales : subventions, appels à projets et autres formes de contractualisation

Proposé par LEFEBVRE DALLOZ COMPETENCES

Objectifs de la formation

  • Découvrir le contexte et les enjeux des relations entre associations et collectivités territoriales
  • Identifier les formes de relations entre associations et collectivités territoriales
  • Gérer la mise en jeu des responsabilités et leurs conséquences
Tarif

A partir de 1 236,00 €

Durée

1 jour

Modes
  • Entreprise
  • Centre
  • Distance

Formation Fiscalité des successions

Proposé par LEFEBVRE DALLOZ COMPETENCES

Objectifs de la formation

  • Déterminer les règles générales relatives à la déclaration de succession
  • Identifier la masse taxable
  • Appliquer les abattements et le barème pour calculer les droits de succession
  • Procéder à l'articulation avec les règles civiles de liquidation
Tarif

A partir de 1 061,00 €

Durée

1 jour

Modes
  • Entreprise
  • Centre
  • Distance

Formation Articulate Storyline

Proposé par Sparks

Objectifs de la formation

  • Créer du contenu e-learning avec Articulate
  • Comprendre et connaître l’ensemble des possibilités d’Articulate Storyline
  • Scénariser un projet en utilisant Storyline
  • Gérer les objets, les personnages
  • Maîtriser les simulations, la naviguation et la Timeline
  • Gérer l'audio (ajout, qualité, montage)
  • Pouvoir publier un projet
Tarif

A partir de 1 500,00 €

Durée

3 jours

Modes
  • Centre
  • Entreprise
  • Distance

Configuration avancée d’une infrastructure hybride Windows Server

Proposé par ENI Service

Objectifs de la formation

  • Renforcer la configuration de sécurité de l’environnement de système d’exploitation Windows Server
  • Améliorer la sécurité hybride à l’aide d’Azure Security Center, d’Azure Sentinel, et d’Update Management de Windows
  • Appliquer des fonctionnalités de sécurité afin de protéger les ressources critiques
  • Mettre en œuvre des solutions de haute disponibilité et de reprise d’activités après sinistre
  • Mettre en œuvre les services de récupération dans des scénarios hybrides
  • Planifier et mettre en œuvre des scénarios de migration, de sauvegarde et de récupération hybrides et cloud uniquement
  • Effectuer des mises à niveau et une migration liées à l’AD DS, et le stockage
  • Gérer et surveiller des scénarios hybrides à l’aide de WAC, d’Azure Arc, d’Azure Automation et d’Azure Monitor
  • Mettre en œuvre la surveillance des services et la surveillance des performances, et appliquer la résolution des problèmes

 

Tarif

A partir de 2 590,00 €

Durée

4j / 28h

Modes
  • Centre
  • Entreprise
  • Distance

STARTER

Proposé par ALTI TRADING

Objectifs de la formation

A l'issue de la formation, le stagiaire sera capable de : comprendre le fonctionnement des marchés financiers dans le but d'investir.

Tarif

A partir de 499,00 €

Durée

9H exclusivement en distanciel

Modes
  • Distance

Formation Référent sexisme en entreprise : faire face au harcèlement sexuel et aux agissements sexistes

Proposé par LEFEBVRE DALLOZ COMPETENCES

Objectifs de la formation

  • Appliquer la législation sociale en matière de lutte contre le harcèlement sexuel et les agissements sexistes
  • Identifier son rôle et ses missions de référent ainsi que celui de ses interlocuteurs
  • Faire face à des situations de crise
Tarif

A partir de 1 133,00 €

Durée

1 jour

Modes
  • Entreprise
  • Centre
  • Distance

L'assurance vie et la transmission de patrimoine

Proposé par GROUPE LEXOM

Objectifs de la formation

  • Décrire l'assurance-vie
  • Examiner les contraintes réglementaires
  • Utiliser l'assurance-vie pour transmettre
  • Mettre en place une clause bénéficiaire adaptée
Tarif

A partir de 1 390,00 €

Durée

2j / 14h

Modes
  • Centre
  • Entreprise
  • Distance

Formation Correspondant environnement : rôle et missions

Proposé par LEFEBVRE DALLOZ COMPETENCES

Objectifs de la formation

  • Préciser les missions et qualités du correspondant environnement pour participer à la mise en oeuvre de la politique environnementale de sa structure
  • Expliquer les principes et exigences réglementaires et normatifs applicables à sa structure en matière environnementale
  • Préparer un audit interne afin de développer le système de management de l'environnement de son entreprise
Tarif

Contacter l'organisme

Durée

Nous contacter

Modes

Référencement Mobile d’un site Web – Adopter les bonnes pratiques du Mobile-First Indexing

Proposé par ENI Service

Objectifs de la formation

  • Comprendre les spécificités du référencement mobile ;
  • Réaliser un audit de son référencement mobile ;
  • Mettre en place une stratégie de mots clés pour son référencement mobile ;
  • Mettre en place une stratégie de deep linking pour son application mobile ;
  • Appréhender les outils du référencement mobile.
Tarif

Contacter l'organisme

Durée

2j / 14h

Modes
  • Centre
  • Entreprise
  • Distance

Formation Crystal Reports

Proposé par Sparks

Objectifs de la formation

  • Définir les concepts clés de Crystal Reports
  • Concevoir un rapport en utilisant l'interface Crystal Reports
  • Appliquer des critères de sélection et filtrer les enregistrements
  • Valoriser les données par le tri, le regroupement et les calculs
  • Mettre en forme les rapports avec des éléments graphiques et des champs spéciaux
  • Manipuler les sections et créer des rapports de synthèse
  • Élaborer des formules simples et les appliquer aux données
Tarif

A partir de 1 200,00 €

Durée

2 jours

Modes
  • Centre
  • Entreprise
  • Distance

Je cherche à faire...