Arkesys

Réseaux TCP/IP - Auditer et sécuriser un site Web

Par Arkesys

Objectifs

A l’issue de cette formation, l’apprenant sera capable de :

  • Auditer une application Web par un test de pénétration à l'aide d'outils automatiques mais aussi manuellement ;
  • Mettre en place des contres mesures pour se prémunir des attaques.

Programme

Les technologies du Web

  • Historique
  • Les langages les plus utilisés
  • Les Frameworks
  • Les CMS

Tour d'horizon des attaques sur le Web

  • Qui ? Pourquoi ? Comment ?
  • Les cibles les plus courantes

Classification des attaques Web

  • Présentation de l'OWASP
  • Classification des dix attaques les plus courantes

Installation d'un serveur LAMP

  • Installation
  • Tour d'horizon des éléments de sécurité dans les fichiers de configuration
  • Fichiers de configuration d'apache
  • Fichier de configuration de PHP
  • Fichier de configuration de MySQL

Passage des contrôles côté client

  • Les outils inclus dans les navigateurs
  • Utilisation d'un proxy local (ZAP, BurpSuite)
  • Utilisation d'addons (Tamper Data, Web developper, etc)
  • Débogage de JavaScript (principe d'obfuscation)
  • Bonne pratique et règle de sécurité pour les contrôles côté client

Technique d'hameçonnage par injection dans l'URL

Les failles XSS

  • Faille XSS reflétées
  • Faille XSS stockées
  • Exemple de récupération de session
  • Se prémunir des failles XSS

Passage d'authentification

  • Les bonnes pratiques
  • Gérer correctement les IDs de session
  • Politiques des mots de passe
  • Les authentifications HTTP

Les injections SQL classiques

  • Rappels sur les bases de données
  • Principe des injections SQL
  • Exemples et exercices pratiques

Les injections SQL en aveugle

  • Principe
  • Exploitation
  • Exemples et exercices

Détection et exploitation des injections SQL

  • Par des outils automatiques
  • Manuellement

Se prémunir des injections SQL

La faille Include

  • Exploitation d'une faille include
  • Bonnes pratiques pour se prémunir des failles includes

La faille Upload

  • Passage des extensions et types MME
  • Mise en place d'un shell
  • Saturation du serveur
  • Contre mesure

Les outils d'audit automatiques

  • ZAP
  • W3AF
  • Acunetix
  • Burpsuite

Interprétation et vérification des résultats

  • Interpréter les résultats d'un outil automatique
  • Vérifier la véracité des alertes remontées

Synthèse des bonnes pratiques pour la réalisation d'une application Web

Pédagogie

  • Explications théoriques suivies de pratiques guidées puis mises en autonomie
  • Stage en mode « In Class » : 2 téléviseurs et 1 caméra HD par salle
  • 1 vidéoprojecteur par salle
  • 1 ordinateur par stagiaire
  • Exercices de synthèse et d’évaluation
  • Evaluation de fin de stage

Formations de la même catégories (5)

Accofor
Sécurité : Applications et serveurs webPar Accofor

Mettre en œuvre et tester des applications Web.Configurer un serveur Web pour chiffrer le trafic Web avec HTTPS.Identifier, diagnostiquer et corriger les 10 principales vulnérabilités définies par l'OWASP.Protéger des applications Web 2.0 AjaxSécuriser des services Web XML avec WS-Security.Réaliser un audit de la sécurité des applications Web.

Clever Institut
Sécurité WEBPar Clever Institut

La Cybersécurité tient une place de plus en plus importante dans les préoccupations actuelles des concepteurs de site et applications web. Une application se doit d’être à la fois robuste, scalable et sécurisée.
Durant cette formation, nous vous présentons quelques-unes des failles de sécurité les plus présentes sur le web ainsi que les méthodes employées pour les exploiter et les prévenir.

Dawan
Sécurité d’un accès à InternetPar Dawan

Comprendre les enjeux de la sécurité d'un accès Internet

Arkesys
Réseaux TCP/IP - Auditer et sécuriser un site WebPar Arkesys

Avant toute mise en ligne d'une application Web celle-ci devrait faire l'objet d'un audit de sécurité afin de vérifier qu'elle ne présente pas de faille majeure.

Orsys
Sécurité des applications Web, perfectionnementPar Orsys

Ce stage de perfectionnement vous permettra d'enrichir vos compétences pour vous protéger et mieux réagir face aux nombreuses menaces du Web. Vous verrez comment auditer la sécurité de vos applications, les tester et mettre en place les contre-mesures les plus adaptées.

Nous utilisons les cookies afin de fournir les services et fonctionnalités proposés sur notre site et afin d’améliorer l’expérience de nos utilisateurs. En cliquant sur ”J’ai compris”, vous acceptez l’utilisation de ces cookies.