Formation Hacking & Sécurité des Applications Web
Cette formation intensive de 3 jours est destinée aux développeurs et administrateurs système souhaitant renforcer la sécurité de leurs applications web. Combinant connaissances théoriques et exercices pratiques, elle aborde les vulnérabilités courantes, l'utilisation des outils essentiels et les bonnes pratiques en matière de développement web sécurisé. Les participants apprendront à identifier, exploiter et corriger les failles de sécurité, acquérant ainsi une expérience pratique pour se défendre proactivement contre les menaces réelles.
Objectifs pédagogiques
- Comprendre les principales vulnérabilités des applications web
- Apprendre à détecter et exploiter les failles de sécurité courantes
- Utiliser efficacement des outils comme Burp Suite et SQLmap
- Appliquer les bonnes pratiques de codage sécurisé pour prévenir les attaques
- Améliorer la résilience globale des applications face aux menaces
Pré-requis
- Connaissances de base en développement web (HTML, CSS, JavaScript)
- Familiarité avec les protocoles web (HTTP, HTTPS)
- Expérience avec les outils en ligne de commande
Public
- Développeurs
- Chefs de projets
Programme
Jour 1
Le paysage de l'insécurité web
- La sécurité web: un vaste sujet
- Architecture type d'une application web
- Projet de sécurité des applications web ouvertes (OWASP)
- CWE, CVE et CVSS
- Attaquants externes et internes
- Les différentes étapes d'une attaque
- La boîte à outils d'un attaquant
- Idées reçues
Place de la sécurité dans le cycle de développement
- L'importance de l'inventaire
- Shadow IT
- Biais de production et incompatibilité avec les approches agiles
- Le concept de DevSecOps
- L'importance des tests et des revues de code
- Analyse statique et dynamique
Aide externe
- Audits de sécurité et Bug Bounty
- Politique de divulgation des vulnérabilités
Protocole HTTP
- Rappel sur le protocole HTTP(s)
- Anatomie des requêtes et réponses HTTP
- Sémantique et codes de retour
- Introduction aux Dev Tools
- Introduction à Burp Suite
URL
- Anatomie d'une URL
- Exploitation des redirections ouvertes
Divulgation d'informations sensibles Informations
- ID séquentiels
- Messages d'erreur détaillés
- Liste des répertoires
- Journalisation en clair des informations sensibles
- Secrets côté client
- Exposition excessive des données API
- Dépôts et historique Git publiques
- Répertoire Git déployé
Jour 2
Validation des saisies
- Côté client, côté serveur ou les deux ?
- Pollution des paramètres HTTP
- Assignation de masse
Cross-Site Scripting (XSS)
- Les XSS sont omniprésentes
- Types de XSS
- Quel impact ?
- Comment se protéger
Injections SQL (SQLI)
- De quoi s'agit-il ?
- Quel impact ?
- Comment se protéger
- Présentation de SQLMap
- Injection NoSQL
Server-Side Request Forgery (SSRF)
- De quoi s'agit-il ?
- Quel impact?
- Comment se protéger
Autres formes d'injections
- Injection HTML
- Injection de code
- Injection de commandes système
Fichiers
- Problèmes courants liés aux fichiers
- Téléchargement de fichiers arbitraires
- Traversée de chemin
- Inclusion de fichiers locaux et distants
Jour 3
Authentification et vulnérabilités
- Authentification
- Enumération des utilisateurs
- Questions de sécurité et Rate Limit
- Authentification multifacteur
Mots de passe
- Cryptographie en bref : codage, hachage, chiffrement
- Politique de sécurité des mots de passe
- Fuites de mots de passe
- Stockage des mots de passe
- Outils de cassage
Cookies
- Attributs des cookies : secure, httponly, domain, samesite...
- Détournement de session
Cross-Site Request Forgery (CSRF)
- Qu'est-ce que c'est ?
- Quel impact?
- Comment se protéger
Détournement de clic
- Qu'est-ce que c'est ?
- Quel impact?
- Comment se protéger
Autorisation et contrôle d'accès
- Authentification vs. autorisation
- Rôles et permissions
- Référence directe d'objet non sécurisée
Cross-Origin resource sharing (CORS)
- Rappel à propos de Same-Origin Policy
- Erreurs de configuration possibles
- Quel impact?
- Comment se protéger
Méthodes mobilisées
- Un formateur validé par nos équipes techniques et pédagogiques sera présent pendant toute la durée de la formation
- Pour les formations en présentiel, une salle de formation sera mise à disposition et équipée d'ordinateurs portables, d'un accès Wi-Fi, d'un projecteur et d'un tableau blanc. En distanciel la session sera suivie sur Zoom ou autre outil de visioconférence sur demande (Teams, Webex, Google Meet...).
- Un support de cours en version numérique sera remis à chaque participant
Modalités d’évaluation
- Questions orales ou écrites (QCM)
- Exercices pratiques
- Auto-positionnement en amont et aval de la formation
Accessibilité aux personnes handicapées
Nous nous engageons à rendre notre formation Hacking & Sécurité des Applications Web accessible aux personnes en situation de handicap. Merci de nous contacter afin que nous puissions réaliser les adaptations nécessaires en amont de la formation.Dernière modification le 24/06/2025