Accueil À propos
Services
Conseil & Expertise Management de la Sécurité Gouvernance de la Sécurité Continuité d'Activité ISO 22301 Sensibilisation à la Sécurité
Formations
SECURITE OFFENSIVE - ETHICAL HACKING
Sensibilisation à la cybersécurité Hacking & Sécurité: Les Fondamentaux Hacking & Sécurité : Avancé Hacking & Sécurité: Expert Certified Ethical Hacker v10 Test d'intrusion: Mise en situation d'audit Audit de site Web Social Engineering et contre-mesures Mener un audit de sécurité: méthode d'audit d'un SI Certified Web Application Security Pentester Python pour le Pentest Exploitation avancée avec Metasploit Certified of Cloud Security Knowledge Intelligent Android Application Testing
INFORENSIQUE
Computer Hacking Forensic Investigator v9 Analyse inforensique avancée et réponse aux incidents Inforensique sur équipement mobile
MANAGEMENT
ISO 27001: Certified Lead Implementer ISO 27001: Certified Lead Auditor ISO 27005: Certified Risk Manager ISO 27005: Certified Risk Manager + Méthode EBIOS Certified Information Systems Auditor Certified Information Systems Security Professional Certified Data Protection Officer Certified Information Security Manager ISO 31000: Certified Risk Management ISO/IEC 22301 Certified Lead Auditor ISO/IEC 22301 Certified Lead Implementer ISO/IEC 27032 Certified Cybersecurity Manager ISO/IEC 27034 Certified Lead Auditor ISO/IEC 27034 Certified Lead Implementer ISO/IEC 27035 Lead Incident Manager Certified Lead Pen Test Professional ISO 9001 Certified Lead Auditor ISO 9001 Certified Lead Implementer
SECURITE DEFENSIVE
Sensibilisation à la sécurité des appareils Android Sécurisation Linux Sécurisation Windows Sécurisation des Réseaux Veille technologique Sécurité Mise en place d'un SIEM Développement sécurisé pour le Web: session Python Développement sécurisé pour le Web: session PHP
Équipe Contact

Langue

FR EN AR
Accueil / Formations / Audit de site Web

Audit de site Web

Maîtrisez l’audit de sécurité des sites Web, de la méthodologie à la pratique technique.

Web
Audit
Formation offensive

Objectif

Ce cours vous apprendra à mettre en place une véritable procédure d’audit de site Web. Vous serez confrontés aux problématiques de la sécurité des applications Web. Vous y étudierez le déroulement d’un audit, aussi bien d’un côté méthodologique que d’un côté technique. Les différents aspects d’une analyse seront mis en avant à travers plusieurs exercices pratiques. Cette formation est destinée aux personnes qui souhaitent pouvoir effectuer des tests techniques lors d’un audit ou d’un déploiement de sites Web.

Objectifs spécifiques :

  • Comprendre et exploiter les différentes vulnérabilités d’un site Web
  • Augmenter le champ d’exploitation des vulnérabilités pour un test d’intrusion

Prérequis

  • Niveau cours HSA
  • Connaissance des langages de développement Web

Informations générales

  • Code : AUDWEB
  • Durée : 3 jours
  • Horaires : 8h30 - 17h30
  • Lieu :Hôtel 4 étoiles, Tunis

Public visé

  • Consultants en sécurité
  • Ingénieurs / Techniciens
  • Développeurs

Ressources

  • Support de cours
  • 40% de démonstration
  • 40% de théorie
  • 20% d’exercices pratiques

Programme

  • Jour 1
    • Introduction
    • Rappel méthodologie d’audit et Plan d’action
    • Prise d’information et Scan
    • Recherche et exploitation de vulnérabilités
    • Reconnaissance
    • Reconnaissance passive
    • Base de données WHOIS
    • Reconnaissance active
    • Visite du site comme un utilisateur
    • Recherche de page d’administration
    • Recherche de fichiers présents par défaut robots.txt, site map
    • Détection des technologies utilisées Contr mesures
    • Limiter l’exposition réseau
    • Filtrer les accès aux pages d’administration et aux pages sensibles
    • Remplacer les messages d’erreurs verbeux par des messages génériques
    • Scan
    • Les différents types des scanners et Limites des scanners
    • Limites des scanners
  • Jour 2
    • Vulnérabilités de conception
    • Politique de mise à jour
    • Chiffrement des communications
    • Politique de mot de passe
    • Isolation intercomptes
    • Accès aux données d’autres utilisateurs
    • Modification d’informations personnelles
    • Gestion des sessions
    • Vulnérabilités Web
    • Mise en place d’un solution de Proxy
    • Cross-site Scripting (XSS)
    • Cross-site Request Forgery (CSRF)
    • Injection SQL
    • Injection de commandes
    • Service Site Includes (SSI)
    • Injection d’objet
    • Exploitation et Contre mesures
  • Jour 3
    • Vulnérabilités Web (suite)
    • Inclusion de fichier
    • Inclusion de fichiers locaux (LFI)
    • Inclusion de fichiers distants (RFI)
    • Contremesures
    • Envoi de fichiers (Upload)
    • Exploitation basique
    • Vérification de Content-type
    • Blocage des extensions dangereuses
    • Contremesures
    • XML External Entity (XXE)
    • Les entités
    • Découverte de la vulnérabilité
    • Exploitation de la vulnérabilité
    • Contremesures
    • Service Side Template Injection (SSTI)
    • Exemple d’utilisation de Twig
    • Exemple d’exploitation sur Twig
    • Exemple d’exploitation sur Flask
    • Contremesures
    • Challenge Final

N'hésitez pas à contacter nos experts pour toute information supplémentaire, étude et calcul gratuit d'un service d'audit.

La sécurité de l'information est essentielle pour toute entreprise qui doit protéger et améliorer ses actifs d'information.

Contactez-nous