Test d'Intrusion des Applications Web

Cours en ligne via Microsoft Teams animé par un instructeur.

1 - 15 Mars 2025

3 jours

En Ligne (Weekend)

S'inscrire à la formation

Cette formation vise à fournir aux participants une compréhension approfondie des vulnérabilités courantes dans les applications web, des techniques d'exploitation utilisées par les attaquants et des stratégies de défense pour sécuriser efficacement ces applications.

Objectifs Clés

A l’issue de cette formation dispensée, vous devrez être capable de valider les
objectifs de compétences suivants :

  • Connaître les vulnérabilités liées aux applications web.
  • Identifier et exploiter les vulnérabilités courantes liées aux applications.
  • Corriger les vulnérabilités liées aux applications web.

Contenu de la Formation :

Jour 1 :
  1. Introduction

 1.1 Contexte et importance de la sécurité web

1.2 Objectifs de la sécurité web

1.3 Terminologie

 

  1. Concepts fondamentaux de la sécurité web

2.1 Surfaces d’attaque

2.2 Confidentialité, Intégrité et Disponibilité (CIA Triad)

2.3 Authentification et Autorisation

2.4 Cryptographie appliquée à la sécurité web

 

  1. Méthodologie de test d’intrusion web

3.1 Préparation et planification des tests d’intrusion

3.2 Collecte d’informations et reconnaissance

3.3 Recherche et exploitation de vulnérabilités

3.4 Post-exploitation et élévation de privilèges

3.5 Rapport et recommandations

 

  1. OWASP Top 10 (Web & API)

4.1 OWASP Top 10 – Web

4.1.1 Broken Access Control

4.1.2 Cryptographic Failures

4.1.3 Injection

4.1.4 Insecure Design

4.1.5 Security Misconfiguration

4.1.6 Vulnerable and Outdated Components

4.1.7 Identification and Authentication Failures

4.1.8 Software and Data Integrity Failures

4.1.9 Security Logging and Monitoring Failures

4.1.10 Server-Side Request Forgery (SSRF)

 

4.2 OWASP Top 10 – API

 4.2.1 Broken Object Level Authorization

4.2.2 Broken Authentication

4.2.3 Broken Object Property Level Authorization

4.2.4 Unrestricted Resource Consumption

4.2.5 Broken Function Level Authorization

4.2.6 Unrestricted Access to Sensitive Business Flows

4.2.7 Server Side Request Forgery (SSRF)

4.2.8 Security Misconfiguration

4.2.9 Improper Inventory Management

4.2.10 Unsafe Consumption of APIs

 

  1. Vulnérabilités courantes

5.1.Logique métier (Business logic)

5.2 Authentification et de gestion des sessions

5.3 Vulnérabilités d’authentification et de gestion de session

5.4 Vulnérabilités d’autorisation et de contrôle d’accès

5.5 Vulnérabilités liées aux entrées utilisateur
5.6 Gestion des données
5.7 Client Side

5.8 Configurations et dépendances

5.9 Réseau et aux infrastructures

 

  1. Laboratoire 1 (Exploitation de vulnérabilités d’une application web)

6.1. Introduction à Burp Suite

6.2. Présentation des vulnérabilités

6.3. Exploitation de vulnérabilités

  1. Lab 2 (Exploitation de vulnérabilités d’une application web)

7.1. Présentation des vulnérabilités

7.2. Exploitation de vulnérabilités

 

  1. Mesures de mitigation et bonnes pratiques

8.1.Principe du moindre privilège
8.2. Sécurité dès la conception (Security by Design)
8.3. Validation des entrées
8.4. Cryptographie et protection des données
8.5. Gestion des identités et authentification sécurisée
8.6. Sécurité des API
8.7. Gestion sécurisée des erreurs et des logs
8.8. Mises à jour et gestion des dépendances
8.9. Tests et analyses de sécurité

8.10 Surveillance et réponse aux incidents

 

  1. Ressources pour aller plus loin

9.1. OWASP (Open Worldwide Application Security Project)

9.2 Blog et documentation

9.3. Outils et frameworks

9.4 Communautés

9.5. Formations et certifications
9.6. CTF (Capture The Flag) et plateformes
9.7. Livres

9.8  Bug Bounty
9.9 Veille technologique

A qui s’adresse cette formation?

  • Pentesteurs
  • Hackers éthiques
  • Red teamers
  • Blue teamers
  • Spécialistes de l’investigation numérique qui souhaitent mieux comprendre les tactiques offensives.
  • Tout professionnel de la sécurité souhaitant approfondir leur compréhension des attaques web
  • Développeurs Web

Prérequis : niveau requis préalable :

  • Connaissance de base en base en web : connaissance des protocoles web et réseau, services web, langage de programmation PHP, JS. Compréhension du fonctionnement de base des applications web
  • Connaissances de base en réseau : une connaissance des protocoles réseau tels que TCP/IP, des pare-feux et de la segmentation du réseau est recommandée.
  • Hyperviseur (VMware workstation ou Oracle virtual box)
  • Ordinateur (8Go de RAM, 150 Go d’espace libre sur le disque dur). Un système d’exploitation windows est préférable
  • Machines virtuelles (Linux : Kali Linux ou Parrot préférable comme machine d’audit)
  • Détermination et patience : les tests de pénétration peuvent être difficiles. Soyez prêt à investir du temps et des efforts pour maîtriser ces techniques avancées.