Objectifs de la formation

• Apprendre les principales vulnérabilités par la présentation de l’OWASP
• Découvrir des méthodes et techniques offensives
• Concevoir des outils de tests permettant la détection automatisée de vulnérabilités

Prérequis

Il est fortement recommandé d’avoir des connaissances dans le développement Web et avoir une base de connaissance sur le fonctionnement des requêtes HTTP ainsi qu’en langage Python.

Les stagiaires devront au préalable avoir à leur disposition un ordinateur portable (PC/MAC) avec l’outil de virtualisation préinstallé (un lien de téléchargement est fourni en amont) et les spécificités suivantes :

• Minimum de 15Go d’espace libre (pour déposer et déployer la machine virtuelle)
• Minimum 6Go de RAM
• Minimum 2 cœurs de CPU (Intel, I3, I5, I7 ou AMD équivalent)
• 2 ports USB libres (USB2)
• Système 64bits avec les droits d’administrations (Windows, Linux ou Mac OS)
• Un fichier OVA pour déployer simplement la VM sera fourni

Modalités d’évaluation

• Feuille d’émargement
• QCM en début et fin de formation
• Évaluation de satisfaction
• Certificat de réalisation de l’action de formation

Méthodes mobilisées

• Support de cours PowerPoint (en français)
• Méthodes pédagogiques utilisées : magistrale, expérientielle

Contenu

• Introduction à la cybersécurité Web
• Manque de journalisation et de surveillance
• Désérialisation non sécurisée
• Mises à jour et vulnérabilités connues
• Mauvaises configurations des entêtes
• Travaux pratiques : Récupération des entêtes
• Mauvaises configurations cryptographiques
• Travaux pratiques : Contrôle de la qualité cryptographique
• XSS
• Travaux pratiques : Injection d’une XSS
• Exposition de données sensibles
• XXE
• Contrôle d’accès cassé
• Injection base de données
• Travaux pratiques : injection base de données
• Défauts d’autorisations
• Travaux pratiques : Manipulation de défauts d’autorisations