Sélectionner une page
Formations CyberSécurité Sécurité des applications Formation Pentest Web : OWASP API

Formation Pentest Web : OWASP API

Logo formation pentest web
Prix 2290€ HT / personne
Durée 3 jours (21 heures)

Paris | Classe Virtuelle

Il ne reste que quelques places
Cafés et déjeuners offerts en interentreprises
Disponible en intra-entreprise pour former votre équipe
Aide au Financement 4000€ de Bonus Atlas en CPF

PRÉSENTATION

Cette formation Pentest Web se concentre sur les vulnérabilités web les plus fréquentes et les plus critiques (au choix parmi le top 10 OWASP). Après une présentation théorique succincte, un lab sera à votre disposition avec une application que vous devrez compromettre.

Au départ sans aucun accès, votre objectif sera dans un premier temps de contourner l’authentification, puis d’exécuter du code système à distance sur le serveur (RCE).

Afin de rendre ces travaux pratiques plus ludiques, ils sont organisés sous forme d’un CTF où les participants s’affrontent soit en équipe, soit individuellement (au choix).

Après la phase d’exploitation, il vous sera proposé de corriger la vulnérabilité et de vérifier par la pratique (test de pénétration) qu’elle n’est plus exploitable. En plus de vous former à la sécurité offensive, vous apprendrez ainsi également à corriger les vulnérabilités de votre réseau.

Selon le niveau des participants et la durée de la formation (modulable de 1 à 3 jours), le programme peut se décliner en plusieurs niveaux : de la découverte du pentest web aux techniques d’exploitation avancées.

En fonction de l’avancement, les thématiques suivantes pourront en particulier être parcourues : attaques par force brute et fuzzing, cloisonnement et contrôle d’accès, exploitation d’injections SQL à l’aveugle, Cross-Site Scripting (XSS) et contournement de WAF/CSP, Cross-Site Origin Resource Sharing (CORS), XML External Entity (XXE), formulaire de mise en ligne de fichier.

 

OBJECTIFS

  • Connaître les failles de sécurité les plus fréquentes et critiques
  • Maîtriser la méthodologie des tests d’intrusion en vue de protéger son infrastructure
  • Corriger efficacement les vulnérabilités

 

PUBLIC VISÉ

  • Développeurs
  • Chefs de projets
  • Techniciens SSI
  • Auditeurs
  • Pentesteurs
  • RSSI
  • Hackers éthiques
  • Architectes réseau

 

Pré-requis

  • Connaissance de base en sécurité web
  • Connaissance d’un langage de programmation

 

Pré-requis technique

  • Une bonne connexion internet pour vous connecter aux labs est nécessaire
  • Burp Suite installé
  • Télécharger les VM Kali et Mobexeler

PROGRAMME DE NOTRE FORMATION TEST D’INTRUSION WEB

 

Présentation des principales vulnérabilités web (au choix parmi le TOP 10 OWASP)

 

Exemples de points abordés (en fonction du niveau des participants et du nombre de jours) :

  • Attaques par force brute et fuzzing
  • Cloisonnement et contrôle d’accès
  • Exploitation d’injections SQL à l’aveugle
  • Cross-Site Scripting (XSS) et contournement de WAF/CSP
  • Cross-Site Origin Resource Sharing (CORS)
  • XML External Entity (XXE)
  • Bonnes pratiques de protection des API
    • limitation d’accès aux ressources
    • mécanisme de contrôle
  • Formulaire de mise en ligne de fichier

 

Présentation d’outils de pentest web

  • Burp Pro / OWASP ZAP
  • GoBuster / Nmap Scanner Port / SQLMap
  • Développement de scripts d’exploitation simples (Python)

 

Accès à un lab pour la mise en pratique

  • Compromission d’une application vulnérable
  • Sous la forme d’un CTF réalisé individuellement ou par équipes
  • Exploitation d’une chaîne de vulnérabilités pour aboutir à l’exécution de code système sur le serveur (RCE)

 

Prise en main des outils

  • Prise en main des outils
  • Accès au lab
  • Burp Free / ZAP : proxys d’attaque web
  • Python: un outil de scripting rapide et efficace

 

Sécurité des web services / API

  • API1:2023 – Autorisation d’Objet Cassée
  • API2:2023 – Authentification Cassée
  • API3:2023 – Autorisation d’Objet Cassée au niveau de la Propriété
  • API4:2023 – Consommation de Ressources Non Restreinte
  • API5:2023 – Autorisation de Fonction Cassée
  • API6:2023 – Accès Non Restreint aux Flux Métier Sensibles
  • API7:2023 – Forgery de Requête Côté Serveur
  • API8:2023 – Mauvaise Configuration de Sécurité
  • API9:2023 – Gestion d’Inventaire Incorrecte
  • API10:2023 – Consommation Non Sécurisée des API

 

Applications mobiles

  • Sécurité des communications (HTTPS + HSTS)
  • Généralités sur la sécurité des applications Android/iOS

Pour aller plus loin

Formation Android Sécurité et Pentest

Formation OWASP Java

Formation OWASP avec .NET

Langues et Lieux disponibles

Langues

  • Français
  • Anglais / English

Lieux

  • France entière
    • Paris
    • Lille
    • Reims
    • Lyon
    • Toulouse
    • Bordeaux
    • Montpellier
    • Nice
    • Sophia Antipolis
    • Marseille
    • Aix-en-Provence
    • Nantes
    • Rennes
    • Strasbourg
    • Grenoble
    • Dijon
    • Tours
    • Saint-Étienne
    • Toulon
    • Angers
  • Belgique
    • Bruxelles
    • Liège
  • Suisse
    • Genève
    • Zurich
    • Lausanne
  • Luxembourg

Nos Formateurs Référents

Quentin

Quentin

Après avoir travaillé pour des grands groupes, je suis aujourd’hui consultant pentester avec pour mission de protéger les applications des attaques cybercriminelles. Expert en sécurité web, je détiens les certifications OSWE et OSCP.

Témoignages

12 décembre 2023

Les + : exercice CTF de l’après-midi.

Sylvain G. de chez W-HA

Afficher tous les témoignages

12 décembre 2023

Les + : exercice CTF de l’après-midi.

Sylvain G. de chez W-HA
12 décembre 2023

Les + : Tp de fin de journée

Frédéric B. de chez W-HA
12 décembre 2023

Je recommande la formation

Vincent H. de chez W-HA
12 décembre 2023

Je recommande la formation

Said H. de chez W-HA
12 décembre 2023

Je recommande la formation

David O. de chez W-HA
12 décembre 2023

Les + : CTF / TESTS D INTRUSiON

Les – : Un peu trop de temps passé sur Burp et sur son utililisation (outil non utilisé dans mon équipe).

Jacques A. de chez W-HA
14 juin 2023

Les + : – Simple de comprehension.

– Couvre plusieurs sujets, à la fois des failles back, front et mobile.

– Les parties sur l’utilisation de Burp, bypass JWT et reverse mobile sont très pertinentes et se transposent bien en situation réelle.

Les – : – Trop orienté débutants (dans mon cas).

– Exemples pratiques globalement trop simplistes. Manque de temps pour aborder les travaux pratiques plus avancés.

– Trop peu de notions sur les techniques de contournements des types de contres-mesures insuffisantes, souvent présentes en situations réelles.

Je souhaite suivre : – OSCP / OSWE / OSEP.

En synthèse : – Bonne formation pour des développeurs débutants n’ayant pas de parcours cyber ni de connaissances préalables en pentest.

– Formation moins pertinente pour de la formation continue de gens ayant déjà une formation et/ou de l’experience en cyber et en pentest.

– Il pourrait être utile de faire une version « débutant » et une version « avancée » de la formation, il est difficile de concevoir une formation adaptée à tout le monde avec des populations très hétérogènes aux attentes différentes.

– Utilisation de VM peu pertinente (pour les utilisateurs Linux), il est plus efficace d’installer les outils localement, surtout pour la seconde partie. Particulièrement pour faire tourner Android studio et l’émulation mobile (problèmes de lenteur en fonction du Hardware). Ce point est moins applicable pour les utilisateurs Windows.

ERWAN L. de chez LACROIX ELECTRONICS CESSON
14 juin 2023

Les + : Les tests de vulnérabilités avec l’outil Burp suite

Les – : Disposer de plus de temps pour les environnements de tests.

Je souhaite suivre : Une formation pour évoluer en tant que pentester.

En synthèse : J’ai aimé la formation en présentiel qui m’a permis d’interagir avec les collègues et le formateur qui était disponible et m’a donné l’envie de continuer vers mon projet professionnel qui est de devenir consultant en pentest.

Ousseynou D. de chez FIRCOSOFT SAS
14 juin 2023

Les + : Le formateur a un bon background technique et il maitrise bien l’aspect sécurité

Neji A. de chez FIRCOSOFT SAS
14 juin 2023

Les + : Le panel des failles est assez large et complet.

Les petits travaux pratiques sont très sympas et utiles pour aider à comprendre et assimiler les failles.

Petit commité

Les – : La durée de la formation est peut-être trop court en vu de la quantité de failles de sécurité possible.

Le mix présentiel et virtuel est peut-être embêtant. Nous avions une seul personne à distance, j’ai peur qu’elle ai pu se sentir seule.

Je souhaite suivre : OWASP .NET : J’aimerais vois plus en détail les solutions possibles pour sécuriser d’avantage mes applications.

En synthèse : Merci à Abdessamad pour sa formation et son temps. C’était très agréable et intéressant, le tout dans la bonne ambiance !

J’ai appris beaucoup de choses en 3 jours.

Cyril M. de chez ALPHA TECH SOLUTIONS
13 avril 2022

Aucune pour le moment..

Thomas H. de chez ISAGRI
13 avril 2022

La partie Web est très qualitative avec beaucoup de pratique.

La partie API, la théorie.

La partie Mobile, la formation semble très complète et le formateur trouve facilement des bypass pour palier aux problèmes de configuration /installations

La partie Web que l’on n’ait pas le temps de faire l’ensemble des exercices/ correction (lvl 2-3).

La partie API, comporte peu de pratique et difficulté d’avoir une bonne pratique

La partie Mobile, Installation difficile ce qui nous fait perdre beaucoup de temps. La pratique est moindre et on n’a pas le temps faire tous les exercices.

Je ne sais pas.

On ressort de la formation avec beaucoup d’outil et beaucoup de point d’entré pour identifier nos potentiels failles ainsi que de les comprendre. Par contre, on manque d’outil pour s’en prémunir facilement et de les corriger (bonne pratique)

Jordane M. de chez ISAGRI

Noter la formation

Prix 2290€ HT / personne
Durée 3 jours (21 heures)

Paris | Classe Virtuelle

Il ne reste que quelques places
Cafés et déjeuners offerts en interentreprises
Disponible en intra-entreprise pour former votre équipe
Aide au Financement 4000€ de Bonus Atlas en CPF

UNE QUESTION ? UN PROJET ? UN AUDIT DE CODE / D'INFRASTRUCTURE ?

Pour vos besoins d’expertise que vous ne trouvez nulle part ailleurs, n’hésitez pas à nous contacter.

ILS SE SONT FORMÉS CHEZ NOUS

partenaire sncf
partenaire hp
partenaire allianz
partenaire sfr
partenaire engie
partenaire boursorama
partenaire invivo
partenaire orange
partenaire psa
partenaire bnp
partenaire sncf
partenaire hp
partenaire allianz
partenaire sfr
partenaire engie
partenaire boursorama
partenaire invivo
partenaire orange
partenaire psa
partenaire bnp