Accueil > Développement Logiciel, Devops > Audit de Sécurité de Sites Web
Formation #DEV143

Formation Audit de Sécurité de Sites Web

Formation avec Restauration incluse
(Déjeuner, Petit Déjeuner et Pauses Cafés)

Durée : 4 jours

Code : DEV143


Sessions programmées :

Du 19 au 22 Jan. 2021

Du 23 au 26 Mars 2021

Du 11 au 14 Mai 2021

Du 06 au 09 Juil. 2021

Du 12 au 15 Oct. 2021

Du 14 au 17 Déc. 2021

Fin d'Inscription :
Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email :
  • Pour les entreprises AU MAROC :
    Au minimum 10 JOURS OUVRÉS avant la date de formation
  • Pour les entreprises HORS MAROC :
    Au minimum 15 JOURS OUVRÉS avant la date de formation

Formation dans votre entreprise.

Durée : 4 jours

Code : DEV143


Vous souhaitez réaliser cette formation en vos locaux avec le même programme ?

Vous souhaitez personnaliser le programme de cette formation pour qu'elle réponde aux spécificités de votre entreprise ?

Objectifs

  • Auditer une application Web par un test de pénétration à l'aide d'outils automatiques mais aussi manuellement
  • Mettre en place des contres mesures pour se prémunir des attaques
Programme
1/ Tour d'horizon des attaques sur le Web
  • Qui ? Pourquoi ? Comment ?
  • Les cibles les plus courantes
2/ Classification des attaques Web
  • Présentation de l'OWASP
  • Classification des dix attaques les plus courantes
3/ Technologies liées à la sécurité
  • Firewalls, panorama des outils, techniques de base réseaux
  • Filtres des requêtes HTTP
  • Empreinte de message, les algorithmes SHA-x et MD5
  • Signature numérique, Clé publique/ clé privée, Coffre à clé et coffre de confiance, Autorités de certification
  • Chiffrement de données, les algorithmes AES et RSA
  • Protocoles SSL v2/v3 et TLS, PKI, certificats X509
  • Techniques d'authentification HTTP, authentification par certificat
4/ Passage des contrôles côté client
  • Les outils inclus dans les navigateurs
  • Utilisation d'un proxy local (ZAP, BurpSuite)
  • Utilisation d'addons (Tamper Data, Web developper, etc)
  • Débogage de JavaScript (principe d'obfuscation)
  • Bonne pratique et règle de sécurité pour les contrôles côté client
5/ Technique d'hameçonnage par injection dans l'URL 6/ Les failles XSS
  • Faille XSS reflétées
  • Faille XSS stockées
  • Exemple de récupération de session
  • Se prémunir des failles XSS
7/ Passage d'authentification
  • Les bonnes pratiques
  • Gérer correctement les IDs de session
  • Politiques des mots de passe
  • Les authentifications HTTP
8/ Les injections SQL classiques
  • Rappels sur les bases de données
  • Principe des injections SQL
9/ Les injections SQL en aveugle
  • Principe
  • Exploitation
10/ Détection et exploitation des injections SQL
  • Par des outils automatiques
  • Manuellement
11/ Se prémunir des injections SQL 12/ La faille Include
  • Exploitation d'une faille include
  • Bonnes pratiques pour se prémunir des failles includes
13/ La faille Upload
  • Passage des extensions et types MME
  • Mise en place d'un shell
  • Saturation du serveur
  • Contre mesure
14/ Les outils d'audit automatiques
  • ZAP
  • W3AF
  • Acunetix
  • Burpsuite
15/ Interprétation et vérification des résultats
  • Interpréter les résultats d'un outil automatique
  • Vérifier la véracité des alertes remontées
Approche Pédagogique

Approche Pédagogique

  • Pédagogie très opérationnelle fondée sur l'alternance entre théorie et pratique
  • Cas pratiques
  • Remise d’outils
  • Echanges d’expériences
Public Cible

Personnes Visées

  • Développeurs
  • Administrateurs de sites et serveurs Web
Dates

Dates

  • Du 19 au 22 Jan. 2021
  • Du 23 au 26 Mars 2021
  • Du 11 au 14 Mai 2021
  • Du 06 au 09 Juil. 2021
  • Du 12 au 15 Oct. 2021
  • Du 14 au 17 Déc. 2021
  • Fin d'Inscription :
    Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email :
    • Pour les entreprises AU MAROC : Au minimum 10 JOURS OUVRÉS avant la date de formation
    • Pour les entreprises HORS MAROC : Au minimum 15 JOURS OUVRÉS avant la date de formation