Formation - Audit de sécurité de sites Web
Public admis
- Salarié en Poste
- Demandeur d'emploi
- Entreprise
- Etudiant
Financements
Eligible CPF Votre OPCO Financement personnel
Objectifs de la formation
- Cette formation fait l'objet d'une évaluation formative.
| Tarif |
Contacter l'organisme |
| Durée | 3 jours (21 heures) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
| Tarif |
Contacter l'organisme |
| Durée | 3 jours (21 heures) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
Programme
1 - Introduction
- Rappel méthodologie d'audit : boite noire, boite grise
- Plan d'action : prise d'information, scan, recherche et exploitation de vulnérabilités, rédaction du rapport
2 - Reconnaissance
- Reconnaissance passive : base de données WHOIS, services en ligne (Netcraft, Robtex, Shodan, Archives), moteurs de recherche, réseaux sociaux, outils
- Reconnaissance active : visite du site comme un utilisateur, recherche de page d'administration, recherche de fichiers présents par défaut, robots.txt, sitemap, détection des technologies utilisées
- Contre-mesures : limiter l'exposition réseau, filtrer les accès aux pages d'administration et aux pages sensibles, remplacer les messages d'erreurs verbeux par des messages génériques
3 - Scan
- Les différents types de scanner : scanner de ports, scanner de vulnérabilité, scanners dédiés
- Limites des scanners
4 - Vulnérabilités
- Vulnérabilités de conception : politique de mise à jour, chiffrement des communications, politique de mot de passe (par défaut, faibles, stockage des mots de passe), isolation intercomptes (accès aux données d'autres utilisateurs, modification d'informations personnelles), gestion des sessions (prédictibles, transitant dans l'URL), contremesures (mise à jour des applications et des systèmes, chiffrement des communications, utilisation et stockage des mots de passe, vérification des droits utilisateurs, système de session non prédictible avec une entropie élevée, drapeaux des cookies)
5 - Vulnérabilités Web
- Mise en place d'une solution de Proxy (Burp Suite)
- Cross-Site Scripting (XSS) : XSS réfléchie, XSS stockée, XSS Dom-Based, contournement des protections, démonstration avec l'outil d'exploitation BeEF, contremesures
- Cross-Site Request Forgery (CSRF) : exploitation d'un CSRF (requête HTTP GET et POST), contremesures
- Injection SQL : injection dans un SELECT, dans un INSERT, dans un UPDATE, dans un DELETE, technique d'exploitation – UNION, technique d'exploitation – Injections booléennes, technique d'exploitation – Injection dans les messages d'erreurs, technique d'exploitation – Injection par délais, technique d'exploitation – Injection dans des fichiers, exemple d'utilisation avec SQLMap, contremesures
- Injection de commandes : chainage de commandes, options des commandes, exploitation, exemple d'exploitation avec commix, contremesures
- Service Side Includes (SSI) : exemples d'attaques, contremesures
- Injection d'objet : exploitation, contremesures
- Inclusion de fichier : inclusion de fichiers locaux (LFI), inclusion de fichiers distants (RFI), contremesures
- Envoi de fichier (Upload) : exploitation basique, vérification de content-type, blocage des extensions dangereuses, contremesures
- XML External Entity (XXE) : les entités (entités générales, paramètres, caractères et externes), découverte de la vulnérabilité, exploitation de la vulnérabilité, contremesures
- Service Side Template Injection (SSTI) : exemple d'utilisation de Twig, exemple d'exploitation sur Twig, exemple d'exploitation sur Flask, contremesures
6 - Challenge final
- Mise en situation d'audit d'une application Web
Prérequis
- Avoir suivi la formation "Hacking et Sécurité - Niveau avancé" (SE101) ou disposer des compétences équivalentes
- Maîtrise des outils Linux
- Connaissance des langages de développement Web
Public
- Consultants en sécurité
- Développeurs
- Ingénieurs / Techniciens
Ces formations pourraient vous intéresser
Objectifs de la formation
À l'issue de cette formation Linux Préparation à la certification LPIC-2, vous disposerez des connaissances et des compétences nécessaires pour :
- Comprendre comment optimiser le fonctionnement d'un système Linux
- Connaître les domaines susceptibles d'être évalués lors du passage de la certification
- Vous préparer au passage des deux examens LPI 201 et LPI 202 permettant d'obtenir la certification LPIC-2, Linux Server Professional Certification.
A noter que cette formation de révision est destinée à assurer la réussite à l’examen mais en aucun cas à l’acquisition des connaissances de base contenues dans les cours cités en prérequis.
| Tarif |
Contacter l'organisme |
| Durée |
2j / 14h |
| Modes |
|
Objectifs de la formation
- Identifier le positionnement de Spring dans les technologies Java
- Décrire les principes de fonctionnement du conteneur et le cycle de vie des objets
- Mettre en œuvre les design patterns IoC et l'approche AOP
- Configurer une application Spring respectant le découpage en couches applicatives
- Implémenter un service d'accès aux données
- Mettre en œuvre Spring MVC dans une application
- Intégrer des services asynchrones distants
- Sécuriser l'application avec Spring Security
| Tarif |
Contacter l'organisme |
| Durée |
4j / 28h |
| Modes |
|
Objectifs de la formation
À l'issue de cette formation Magento 2 Back End, vous aurez acquis les connaissances et compétences nécessaires pour :
- Installer Magento 2
- Créer un module Front et Back Office Magento 2 en utilisant les bonnes pratiques de conception, de codage et de test
- Mettre en place ou enrichir les APIs Magento 2.
| Tarif |
A partir de 2 300,00 € |
| Durée |
5j / 35h |
| Modes |
|
Formation - CSA/CST/CSE avec attributions en Santé, Sécurité et Conditions de Travail ou Formation Spécialisée SSCT
Proposé par CEGOSObjectifs de la formation
- Maîtriser les rôles, missions et moyens du CSA/CST/CSE en matière de santé, sécurité et Conditions de Travail.
- Repérer les risques et s'approprier les méthodes et outils pour jouer son rôle de préventeur.
- Être un acteur proactif de la santé et de la sécurité au travail et contribuer à la politique de prévention.
| Tarif |
A partir de 2 520,00 € |
| Durée |
5 jours (35 heures) |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Décrire les écosystèmes iOS et Android
- Différencier Apps et Web Apps
- Utiliser PhoneGap et les solutions hybrides
- Rentabiliser une application mobile
- Différencier les modes de déploiement.
| Tarif |
A partir de 860,00 € |
| Durée |
1j / 7h |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Souligner les avantages de la base de données SAP HANA pour SAP BW
- Expliquer les exigences de la modélisation SAP BW
- Fournir les lignes directrices des bonnes pratiques d'architecture LSA++ (Layered Scalable Architecture) telles que la séparation des données de base et des données transactionnelles
- Décrire les différentes étapes du processus de modélisation de flux de chargement
- Comparer le contenu fonctionnel avec les besoins
- Expliquer la modélisation par champs
- Créer des hiérarchies à l'aide d'InfoObjets ou de calculation views
- Harmoniser des données provenant de plusieurs sources
- Gérer la conversion de devises dans les transformations ou les calculation views
- Générer des vues HANA et mettre en oeuvre des scénarios mixtes
- Mettre en oeuvre des processus HAP (HANA Analysis Process)
- Concevoir des flux d'inventaire et de couverture de stock.
| Tarif |
A partir de 4 100,00 € |
| Durée |
5j / 35h |
| Modes |
|
Objectifs de la formation
- Gérer l'évacuation
- Identifier les différents types d'évacuation
- Mettre en sécurité les personnes
| Tarif |
A partir de 1 390,00 € |
| Durée |
1j / 4h |
| Modes |
|
Objectifs de la formation
- Connaître la syntaxe et les concepts du langage C#
- Travailler dans l'environnement Visual Studio
- Utiliser le framework .NET, notamment les outils ADO.NET pour la gestion des données et Winforms pour les applications fenêtrées (menus, boîtes de dialogue, etc.)
- Développer des applications et sites web avec ASP.NET
- Accéder aux données avec ADO.NET et les services de données WCF
- Assurer le traitement des données avec ADO.NET et LINQ
| Tarif |
A partir de 3 995,00 € |
| Durée |
10j / 70h |
| Modes |
|
Objectifs de la formation
Concrètement, à l'issue de cette formation ISO 22301 Lead Auditor, vous serez capable de :
- Comprendre le fonctionnement d’un Système de management de la continuité d’activité (SMCA) conforme à la norme ISO 22301
- Expliquer la corrélation entre la norme ISO 22301 et les autres normes et cadres réglementaires
- Comprendre le rôle d’un auditeur : planifier, diriger et assurer le suivi d’un audit de système de management conformément à la norme ISO 19011
- Savoir diriger un audit et une équipe d’audit
- Savoir interpréter les exigences d’ISO 22301 dans le contexte d’un audit du SMCA
- Acquérir les compétences d’un auditeur dans le but de : planifier un audit, diriger un audit, rédiger des rapports et assurer le suivi d’un audit, en conformité avec la norme ISO 19011
| Tarif |
A partir de 3 690,00 € |
| Durée |
5j / 35h |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Décrire les techniques, tactiques, procédures et infrastructures courantes de la CTI (Cyber Threat Intelligence) de manière approfondie
- Utiliser STIX et TAXII pour représenter les informations sur les menaces
- Développer OpenCTI pour optimiser les flux de travail CTI
- Mettre en place MISP pour collecter, enrichir et partager les informations sur les menaces
- Créer des événements MISP pour documenter les indicateurs de menace
- Intégrer MISP avec d'autres outils de sécurité et collaborer entre organisations
- Appliquer l'automatisation de la CTI avec l'API MISP
- Explorer des études de cas avancées pour une meilleure application des connaissances.
| Tarif |
A partir de 2 850,00 € |
| Durée |
3j / 21h |
| Modes |
|
