Formations Infrastructure & Sécurité Formation Pentest Web : OWASP API

Formation Pentest Web : OWASP API

Rated 0 out of 5
Logo formation pentest web
Prix 2290€ HT / personne
Durée 3 jours ( 21 heures )
Paris | à distance | FNE
Il ne reste que quelques places
Option OFFERTE de classe virtuelle (40€/j en supplément)
Disponible en intra-entreprise pour former votre équipe

PRÉSENTATION

Cette formation Pentest Web se concentre sur les vulnérabilités web les plus fréquentes et les plus critiques (au choix parmi le top 10 OWASP). Après une présentation théorique succincte, un lab sera à votre disposition avec une application que vous devrez compromettre. Au départ sans aucun accès, votre objectif sera dans un premier temps de contourner l’authentification, puis d’exécuter du code système à distance sur le serveur (RCE).

Afin de rendre ces travaux pratiques plus ludiques, ils sont organisés sous forme d’un CTF où les participants s’affrontent soit en équipe, soit individuellement (au choix).

Après la phase d’exploitation, il vous sera proposé de corriger la vulnérabilité et de vérifier par la pratique (pentest) qu’elle n’est plus exploitable. En plus de vous former à la sécurité offensive, vous apprendrez ainsi également à corriger les vulnérabilités.

Selon le niveau des participants et la durée de la formation (modulable de 1 à 3 jours), le programme peut se décliner en plusieurs niveaux : de la découverte du pentest web aux techniques d’exploitation avancées. En fonction de l’avancement, les thématiques suivantes pourront en particulier être parcourues : attaques par force brute et fuzzing, cloisonnement et contrôle d’accès, exploitation d’injections SQL à l’aveugle, Cross-Site Scripting (XSS) et contournement de WAF/CSP, Cross-Site Origin Resource Sharing (CORS), XML External Entity (XXE), formulaire de mise en ligne de fichier.

 

OBJECTIFS

  • Connaître les failles de sécurité les plus fréquentes et critiques
  • Maîtriser le pentesting en vue de protéger son infrastructure
  • Corriger efficacement les vulnérabilités

 

PUBLIC VISÉ

  • Développeurs
  • Chefs de projets
  • Techniciens SSI
  • Auditeurs
  • Pentesteurs
  • RSSI
  • Hackers éthiques

 

Pré-requis

  • Connaissance de base en sécurité web
  • Connaissance d’un langage de programmation

 

Pour aller plus loin

PROGRAMME DE NOTRE FORMATION PENTEST WEB

 

Présentation des principales vulnérabilités web (au choix parmi le TOP 10 OWASP)

 

Exemples de points abordés (en fonction du niveau des participants et du nombre de jours) :

  • Attaques par force brute et fuzzing
  • Cloisonnement et contrôle d’accès
  • Exploitation d’injections SQL à l’aveugle
  • Cross-Site Scripting (XSS) et contournement de WAF/CSP
  • Cross-Site Origin Resource Sharing (CORS)
  • XML External Entity (XXE)
  • Bonnes pratiques de protection des API
    • limitation d’accès aux ressources
    • mécanisme de contrôle
  • Formulaire de mise en ligne de fichier

 

Présentation d’outils de pentest web

  • Burp Pro / OWASP ZAP
  • GoBuster / Nmap Scanner Port / SQLMap
  • Développement de scripts d’exploitation simples (Python)

 

Accès à un lab pour la mise en pratique

  • Compromission d’une application vulnérable
  • Sous la forme d’un CTF réalisé individuellement ou par équipes
  • Exploitation d’une chaîne de vulnérabilités pour aboutir à l’exécution de code système sur le serveur (RCE)

 

Prise en main des outils

  • Prise en main des outils
  • Accès au lab
  • Burp Free / ZAP : proxys d’attaque web
  • Python: un outil de scripting rapide et efficace

 

Sécurité des web services / API

  • OWASP API Security TOP10 (2019)
  • Contrôle d’accès horizontal [API1:2019]
  • Authentification [API2:2019]
  • Exposition excessive d’informations [API3:2019]
  • Attaques automatisées et limitation d’accès aux ressources [API4:2019]
  • Cross-Origin Resource Sharing (CORS)

 

Applications mobiles

  • Sécurité des communications (HTTPS + HSTS)
  • Généralités sur la sécurité des applications Android/iOS

Formation Android Sécurité et Pentest

Formation OWASP Java

Formation OWASP avec .NET

Langues et Lieux disponibles

Langues

  • Français
  • Anglais / English

Lieux

  • France entière
    • Paris
    • Lille
    • Reims
    • Lyon
    • Toulouse
    • Bordeaux
    • Montpellier
    • Nice
    • Sophia Antipolis
    • Marseille
    • Aix-en-Provence
    • Nantes
    • Rennes
    • Strasbourg
    • Grenoble
    • Dijon
    • Tours
    • Saint-Étienne
    • Toulon
    • Angers
  • Belgique
    • Bruxelles
    • Liège
  • Suisse
    • Genève
    • Zurich
    • Lausanne
  • Luxembourg

Nos Formateurs Référents

Quentin

Quentin

Après avoir travaillé pour des grands groupes, je suis aujourd’hui consultant pentester avec pour mission de protéger les applications des attaques cybercriminelles. Expert en sécurité web, je détiens les certifications OSWE et OSCP.

Témoignages

Afficher tous les témoignages

Noter la formation
Prix 2290€ HT / personne
Durée 3 jours ( 21 heures )
Paris | à distance | FNE
Il ne reste que quelques places
Option OFFERTE de classe virtuelle (40€/j en supplément)
Disponible en intra-entreprise pour former votre équipe

UNE QUESTION ? UN PROJET ? UN AUDIT DE CODE / D'INFRASTRUCTURE ?

Pour vos besoins d’expertise que vous ne trouvez nulle part ailleurs, n’hésitez pas à nous contacter.