Pentest Web : OWASP API

• Connaître les failles de sécurité les plus fréquentes et critiques
• Maîtriser le pentesting en vue de protéger son infrastructure
• Corriger efficacement les vulnérabilités

Présentation des principales vulnérabilités web (au choix parmi le TOP 10 OWASP)

Exemples de points abordés (en fonction du niveau des participants et du nombre de jours) :

• Attaques par force brute et fuzzing
• Cloisonnement et contrôle d’accès
• Exploitation d’injections SQL à l’aveugle
• Cross-Site Scripting (XSS) et contournement de WAF/CSP
• Cross-Site Origin Resource Sharing (CORS)
• XML External Entity (XXE)
• Bonnes pratiques de protection des API
  • limitation d’accès aux ressources
  • mécanisme de contrôle
• Formulaire de mise en ligne de fichier

Présentation d’outils de pentest web

• Burp Pro / OWASP ZAP
• GoBuster / Nmap Scanner Port / SQLMap
• Développement de scripts d’exploitation simples (Python)

Accès à un lab pour la mise en pratique

• Compromission d’une application vulnérable
• Sous la forme d’un CTF réalisé individuellement ou par équipes
• Exploitation d’une chaîne de vulnérabilités pour aboutir à l’exécution de code système sur le serveur (RCE)

Prise en main des outils

• Prise en main des outils
• Accès au lab
• Burp Free / ZAP : proxys d’attaque web
• Python: un outil de scripting rapide et efficace

Sécurité des web services / API

• OWASP API Security TOP10 (2019)
• Contrôle d’accès horizontal [API1:2019]
• Authentification [API2:2019]
• Exposition excessive d’informations [API3:2019]
• Attaques automatisées et limitation d’accès aux ressources [API4:2019]
• Cross-Origin Resource Sharing (CORS)

Applications mobiles

• Sécurité des communications (HTTPS + HSTS)
• Généralités sur la sécurité des applications Android/iOS