Techniques de hacking du Web

Jour 1 - Matin

Introduction au Pentest Web

• Introduction au Pentest Web
• Rôles et responsabilités du pentester
• Méthodologie du Pentest Web
• Utilisation des outils de test d'intrusion

Jour 1 - Après-midi

Préparation du laboratoire et reconnaissance

• Configuration du laboratoire de test
• Collecte d'informations sur la cible
• Utilisation d'outils comme Shodan, Dorks et DirBuster pour la recherche de failles

Jour 2 - Matin

Détection de vulnérabilités

• Scan de vulnérabilité avec WPScan, Nikto, OpenVAS et Nmap
• Utilisation de Burp Suite et ZAP pour l'analyse de sécurité
• Détection des vulnérabilités courantes

Jour 2 - Après-midi

Exploitation de vulnérabilités Web

• Attaques par force brute
• Attaques de l'injection de code
• Exploitation de vulnérabilités SQL Injection

Jour 3 - Matin

Exploitation de vulnérabilités Web - Suite

• Attaques de script côté client
• Cross-Site Scripting (XSS)
• Cross-Site Request Forgery (CSRF)
• XXE (XML eXternal Entity)
• Vulnérabilité SSRF (Server Side Request Forgery)

Jour 3 - Après-midi

Techniques de défense

• Modélisation des menaces (Threat Modeling)
• Sécurisation de l'authentification (CAPTCHA et protection anti-brute force)
• Gestion des mots de passe (salage dynamique, gestion des politiques de mot de passe)
• Sécurisation des fonctionnalités d'upload de fichiers
• Utilisation de DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing), WAF (Web Application Firewall)
• Utilisation de ressources et guides de sécurité :
• L'OWASP Testing Guide
• ASVS (Application Security Verification Standard)

Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.

Modalités d’évaluation des acquis

• En cours de formation, par des études de cas ou des travaux pratiques
• Et, en fin de formation, par un questionnaire d'auto-évaluation