Etat de l’art des attaques applicatives

Formation sur les attaques Web, animée par Nicolas Grégoire, fondateur de la société AgarriFR et expert en sécurité informatique offensive depuis plus de 15 ans. La formation passe en revue le « Top 10 » de l’OWASP mais aussi les nouvelles vulnérabilités (injections XXE, SSRF, JSON…) d’autant plus dévastatrices car méconnues. De nombreux exercices pratiques garantissant une bonne assimilation par les stagiaires des concepts présentés seront réalisés. Les outils utilisés lors de tests intrusifs Web seront présentés et manipulés, du plus simple au plus complexe. Les stagiaires seront alors capables d’identifier et d’exploiter les différentes familles de vulnérabilités abordées lors de la formation afin de s’en protéger.
[accordionitem]

 

La formation repose sur un programme composé de 50 % de théorie et 50 % d’exercices pratiques sur les points suivants :

– Rappels sur HTTP
Requêtes et réponses, gestion des états et du cache, redirection, authentification, chiffrement, actions implicites du navigateur

– Attaques courantes
Introduction au « OWASP Top 10 » : injections (HTML et SQL), références directes non sécurisées, CSRF, gestion des versions, Présentation d’exemples réels

– Outillage
Extensions pour navigateurs (Chrome, Firefox), outils d’interception et de rejeu (ZAP, Burp Suite)

– Exercices pratiques
Injection SQL, manipulation de requêtes (cookies et paramètres), cassage de mots de passe, extraction de données

– Exploitation avancée
Techniques avancées relatives à l’exploitation de failles de type Injection SQL et XSS : accès au système de fichiers, contournement de filtres, exploitation en masse, enchaînement de techniques

– Vulnérabilités hors « OWASP Top 10 »
Théorie et pratique d’attaques modernes (injections JSON, SSRF, XXE…)

[/accordionitem] [accordionitem]

 

Pour le bon déroulement de la formation vous aurez besoin de :

– Ordinateur portable avec connectivité filaire (RJ45)
– Navigateur supportant les extensions (Firefox ou Chrome)
– Machine virtuelle Java (JRE)
[/accordionitem] [accordionitem]

 

Cette formation cible les profils suivants :

– Consultants en sécurité des applications Web
– Ingénieurs en sécurité des applications Web
– Développeurs d’applications Web
– Personnes en charge de l’assurance logicielle (QA)
[/accordionitem] [accordionitem]

 

Profil du formateur sur les attaques applicatives web :

Nicolas Grégoire, fondateur de la société Agarri, spécialisée en sécurité informatique offensive, avec plus de 15 ans d’expérience en tests intrusifs.

[/accordionitem] [accordionitem]

 

Informations complémentaires sur la formation :

Durée : 3 jours, de 9h à 17h30
Localisation : DenyAll, 6 avenue de la Cristallerie, 92310 Sèvres, FRANCE
Prix de la formation : 4200€ HT

 

Pour toutes informations supplémentaires sur cette formation ou une autre, n’hésitez pas à nous contacter.
[/accordionitem]