Formations Infrastructure & Sécurité Formation Certification OSWE

Formation Certification OSWE

ALL-IN-ONE : EXAMEN INCLUS AU TARIF

0,0 rating
Logo formation OSWE
Prix 5290€ HT / personne
Durée 4 jours (28 heures)
Paris | à distance | FNE
Il ne reste que quelques places
Option OFFERTE de classe virtuelle (40€/j en supplément)
Disponible en intra-entreprise pour former votre équipe

PRÉSENTATION

Vous voulez être un hacker éthique expert ? La certification OSWE prouvera que vous avez une grande connaissance du processus d’évaluation et de piratage des applications web.

Après avoir suivi notre formation, vous serez capable d’examiner en profondeur le code source des applications web, savoir comment identifier les failles de sécurité et les exploiter.

Cette formation OSWE couvrira tous les éléments présents lors de l’examen comme les injections SQL, les injections JavaScript, le contournement d’authentification ou la déserialisation.

Après avoir suivi cette préparation, vous pourrez passer la certification OSWE gratuitement.

 

OBJECTIFS

  • Être capable d’analyser en profondeur le code source d’une application web
  • Identifier les vulnérabilités que de nombreux scanners d’entreprise sont incapables de détecter
  • Mettre en œuvre de manière méthodique des attaques en chaîne en utilisant des vulnérabilités différentes
  • Développer des compétences en résolution de problème et pensée divergente

 

PUBLIC VISÉ

  • Hackers éthiques
  • Développeurs
  • Architectes techniques
  • Administrateurs
  • Chefs de projet

 

Pré-requis

  • Une solide compréhension des réseaux TCP-IP
  • Avoir une expérience en administration Windows et Linux
  • Une bonne connaissance de Linux
  • Pouvoir écrire des scripts simples en Python / PHP / Perl / Bash
  • Bonne connaissance d’au moins un langage de codage (Java, .NET, Python, etc…)
  • Connaissance des proxies web
  • Connaissance générale en pentesting, l’obtention de la certification OSCP est recommandée, mais pas obligatoire

Note : Ambient IT n’est pas propriétaire de OSWE, cette certification appartient à Offensive Security Services LLC.

PROGRAMME DE NOTRE FORMATION CERTIFICATION OSWE

 

MAITRISE DES OUTILS ET ANALYSE DU CODE SOURCE

  • Configurer le lab
  • Bien maîtriser la suite Burp Suite (Burp Proxy, Scope, Decoder…)
  • Récupération du code source
  • Analyse du code source

 

DU XSS AU RCE

  • AtMail Email Server Appliance
  • Utiliser le XSS et le CSRF pour obtenir le RCE
  • Session Hijacking
  • Session Riding
  • Les différentes vulnérabilités (atmail, addattachmentAction, globalsaveAction)

 

CONTOURNEMENT DES RESTRICTIONS D’ENVOI DE FICHIERS

  • Shell the web
  • Envoi illimité de fichiers
  • Atlassian Crowd Pre-auth RCE

 

CONTOURNEMENT DE L’AUTHENTIFICATION ET RCE

  • Présentation des vulnérabilités
  • Présentation d’Atutor
  • Contournement de l’authentification avec Atutor
  • Présentation d’ERPNext
  • Contournement de l’authentification avec ERPNext
  • Présentation d’openCRX
  • Contournement de l’authentification avec openCRX

 

VULNÉRABILITÉ DE LA RÉINITIALISATION DE MOT DE PASSE

  • Tester les fonctionnalités de réinitialisation des mots de passe
  • RCE avec injection SQL
  • Injection SQL au LFI au RCE
  • Reprise des boutiques en ligne d’OXID avant l’annonce de la décision
  • Utiliser PostgreSQL
  • Exploiter l’injection de H2 SQL dans le RCE

 

PHP TYPE JUGGLING

  • OWASP – PHPMagicTricks TypeJuggling
  • Les différentes vulnérabilités
  • Type Juggling, PHP Object Injection, SQLi
  • Exploits pour PHP Type Juggling
  • PHP Magic Hashes

 

INJECTION JAVASCRIPT

  • Présentation de Bassmaster
  • Les différentes vulnérabilités
  • Utiliser un Reverse Shell
  • Server Side JS Injection
  • Remote Code Execution in math.js
  • Arbitrary code execution in fast-redact
  • SetTimeout and SetInterval use eval therefore are evil
  • Pentesting Node.js

 

LA DESERIALISATION

  • La déserialisation avec Java
  • La déserialisation avec .NET
  • La déserialisation avec PHP
  • La déserialisation avec Nodejs

 

ATTAQUE DE L’ENTITÉ EXTERNE XML (XXE)

  • Présentation de l’injection XXE
  • Du XXE au RCE
  • Vulnérabilité Apache Flex BlazeDS XXE
  • WebLogic EJBTaglibDescriptor XXE

 

WEBSOCKETS INSECURITY

  • Introduction à WebSockets
  • Prise de contrôle de matériel à distance par détournement
  • Le détournement de sites Web
  • Audit du code source
  • Rédactions d’analyses de codes statiques
  • TrendMicro
  • Shopify Remote Code Execution
  • Trouver des vulnérabilités dans le code source ( APS.NET)
  • Une plongée en profondeur dans la désérialisation ASP.NET

Pour aller plus loin

Formation Android Sécurité et Pentest

Certification OSEP

Certification OSWP

Certification OSCP

 

Formation OWASP Java

Formation OWASP avec .NET

Langues et Lieux disponibles

Langues

  • Français
  • Anglais / English

Lieux

  • France entière
    • Paris
    • Lille
    • Reims
    • Lyon
    • Toulouse
    • Bordeaux
    • Montpellier
    • Nice
    • Sophia Antipolis
    • Marseille
    • Aix-en-Provence
    • Nantes
    • Rennes
    • Strasbourg
    • Grenoble
    • Dijon
    • Tours
    • Saint-Étienne
    • Toulon
    • Angers
  • Belgique
    • Bruxelles
    • Liège
  • Suisse
    • Genève
    • Zurich
    • Lausanne
  • Luxembourg

Témoignages

Afficher tous les témoignages

Noter la formation
Prix 5290€ HT / personne
Durée 4 jours (28 heures)
Paris | à distance | FNE
Il ne reste que quelques places
Option OFFERTE de classe virtuelle (40€/j en supplément)
Disponible en intra-entreprise pour former votre équipe

UNE QUESTION ? UN PROJET ? UN AUDIT DE CODE / D'INFRASTRUCTURE ?

Pour vos besoins d’expertise que vous ne trouvez nulle part ailleurs, n’hésitez pas à nous contacter.