Méthodologie de hacking d'applications Web

Objectifs

Identification les mécanismes d'une attaque
Mesure du niveau de sécurité d'une application Web
Mise à l'épreuve de mécanismes de protection
Réalisation de veille de vulnérabilités

Programme de la formation

1. Introduction
Types d'attaquants
Phases d'une attaque
Impacts
Veille et gestion de vulnérabilités
2. Protocole HTTP
Requêtes et réponses
Codes
Pdu
HTTPS
3. Referentiel OWASP
Top 10
ASVS
WSTG
4. Outils de hacking web
Scanneurs de vulnérabilités
Logiciels proxy
Outils de fingerprinting
Outils d'automatisation
5. Attaque de l'authentification
Faiblesse des mots de passe
Faiblesse des IDS de session
Attaques Bruteforce
6. Attaques par injection
Injection sql
Injection xxe
Injection ldap
Injection de code
7. Attaque du contrôle d'accès
Élévation de privilège horizontal
Élévation de privilège vertical
IDOR
LFI, RFI, path traversal, ...
8. Failles XSS
Réfléchie
Stockée
Dom
9. Attaque sur l'upload de fichier
Impacts
Exploitation
10. Exploitation de vulnérabilité publique
Cartographie de l'application
Recherche de vulnérabilité
Exploitation de vulnérabilité
11. Recherche d'informations sensibles
Verbosité des messages d'erreurs
Fingerprinting
Directory listing
Données en clair
12. Contournement de contre-mesures
Analyse de contre-mesures possibles
Contournement de protection faible

Validation et sanction

Attestation de formation

Type de formation

Non certifiante

Sortie

Sans niveau spécifique