JDN > Formations professionnelles > Réseaux, télécoms, sécurité > Sécurité > Formation certifiante SANS "SEC 542 - Tests d'intrusion applicatifs et hacking éthique"




Formation certifiante SANS Informations pratiquesCentre de formation Hervé Schauer Consultants (HSC)

 Formation certifiante SANS "SEC 542 - Tests d'intrusion applicatifs et hacking éthique"


 Hervé Schauer Consultants (HSC), levallois-perret
 Formation inter entreprise


Objectif Au travers d'exercices pratiques et du retour d'expérience des formateurs, cette formation détaillera le processus en quatre étapes d'une intrusion sur une application web. Différentes techniques d'exploitation de vulnérabilités seront enseignées telles que les injections SQL et les Cross-Site Scripting ainsi que les méthodes permettant de les découvrir en utilisant une batterie de tests et les outils associés.
Contenu 1. Introduction aux tests d'intrusion applicatifs
• Point de vue d'un professionnel des tests d'intrusion vis-à-vis du web
• Diversité des serveurs et clients web
• Diversité des architectures web
• Gestion de l'état d'une session
• Les différents types de vulnérabilités
• Définition du périmètre et du processus d'intrusion
• Les différents types de tests d'intrusion

2. Découverte de l'architecture web
• Découverte de l'infrastructure applicative
• Identification des machines et systèmes d'exploitation mis en jeu
• Configurations SSL et faiblesses associées
• Etude de l'hébergement virtuel et son impact sur les tests
• Identification des répartiteurs de charge
• Découverte de la configuration logiciel

3. Cartographie de l'application
• Recherche d'information sur des sources externes (Google Hacking)
• Trousse à outils d'exploration d'un site web
• Ecriture de scripts automatisant les requêtes HTTP
• Elaboration d'une carte de l'application
• Analyse des relations entre les différents composants de l'application

4. Recherche de vulnérabilités
• Méthodologies de recherche de vulnérabilités
• Fuites d'information
• Récupération d'identifiants
• Injections de commandes
• Injections SQL
• Injections SQL en aveugle
• Cross-Site Scripting
• Cross-Site Request Forgery
• Failles dans la gestion des sessions
• Fuzzing et outils associés
• Analyse du contenu des différentes pages web d'un site
• Méthodologies d'attaques des web services

5. Recherche de vulnérabilités au sein des composants clients
• Méthodologies de recherche de vulnérabilités
• Décompilation des composants clients (Flash, Applets Java, ...)
• Analyse de composants malveillants
• Recherche de vulnérabilités via les composants clients
• Méthodologies de test pour les applications basées sur Ajax
• Impacts de l'Ajax et des web services sur les tests d'intrusion

6. Ecriture de scripts
• Utilité des langages Python et PHP
• Personnalisation et extension des outils existants

7. Exploitation
• Asservissement des navigateurs web
• Utilisation des zombies pour balayer et attaquer le réseau interne
• Frameworks d'attaque (AttackAPI, BeEF, XSS-Proxy)
• Elaboration d'un scénario d'attaque complet
• Exploitation des vulnérabilités découvertes
o Elévation de privilèges sur le système sous-jacent
o Utilisation de l'application web comme pivot
• Interaction avec un serveur à travers une injection SQL
• Vol de cookies
• Exécution de commandes via les vulnérabilités de l'application web
Niveau requis Avoir de bonnes connaissances des protocoles et des architectures web classiques. La connaissance des langages Python et PHP peut être un plus mais n'est pas requise.
Durée de la formation 5 jours

 

Mise à jour le 02 Janvier 2012 
Mettre à jour | Envoyer cette fiche 


Rechercher
> Recherche avancée
> Toutes les formations
> Top des recherches
0-9|A|B|C|D|E|F|G|H|I|J|K|L|M|N|O|P|Q|R|S|T|U|V|W|X|Y|Z


Les informations contenues dans l'Annuaire des formations sont communiquées par les établissements concernés. Elles n'engagent en rien la responsabilité de l'éditeur du Journal du Net. © Benchmark Group


Rechercher une formation
Recherche avancée | Toutes les formations
Top des recherches


ENST Telecom Paris formation continue et professionnelle – Cegos
CNFCE ORSYS
Journal du Net Voir un exemple
Management Voir un exemple
Emploi Voir un exemple
Toutes nos newsletters

Annonces Google