FormationsConceptionFormation Hacking & Sécurité des Applications Web

Conception

Toutes nos formations Bases de données C/C++Conception DevOps Go Internet des objets Intégration Java JavaScript Linux Mobile Outils PHP Python Rust Sécurité Wordpress

Formation Hacking & Sécurité des Applications Web

Cette formation intensive de 3 jours est destinée aux développeurs et administrateurs système souhaitant renforcer la sécurité de leurs applications web. Combinant connaissances théoriques et exercices pratiques, elle aborde les vulnérabilités courantes, l'utilisation des outils essentiels et les bonnes pratiques en matière de développement web sécurisé. Les participants apprendront à identifier, exploiter et corriger les failles de sécurité, acquérant ainsi une expérience pratique pour se défendre proactivement contre les menaces réelles.

Objectifs pédagogiques

Comprendre les principales vulnérabilités des applications web
Apprendre à détecter et exploiter les failles de sécurité courantes
Utiliser efficacement des outils comme Burp Suite et SQLmap
Appliquer les bonnes pratiques de codage sécurisé pour prévenir les attaques
Améliorer la résilience globale des applications face aux menaces

Pré-requis

Connaissances de base en développement web (HTML, CSS, JavaScript)
Familiarité avec les protocoles web (HTTP, HTTPS)
Expérience avec les outils en ligne de commande

Public

Développeurs
Chefs de projets

Programme

Jour 1

Le paysage de l'insécurité web

La sécurité web: un vaste sujet
Architecture type d'une application web
Projet de sécurité des applications web ouvertes (OWASP)
CWE, CVE et CVSS
Attaquants externes et internes
Les différentes étapes d'une attaque
La boîte à outils d'un attaquant
Idées reçues

Place de la sécurité dans le cycle de développement

L'importance de l'inventaire
Shadow IT
Biais de production et incompatibilité avec les approches agiles
Le concept de DevSecOps
L'importance des tests et des revues de code
Analyse statique et dynamique

Aide externe

Audits de sécurité et Bug Bounty
Politique de divulgation des vulnérabilités

Protocole HTTP

Rappel sur le protocole HTTP(s)
Anatomie des requêtes et réponses HTTP
Sémantique et codes de retour
Introduction aux Dev Tools
Introduction à Burp Suite

URL

Anatomie d'une URL
Exploitation des redirections ouvertes

Divulgation d'informations sensibles Informations

ID séquentiels
Messages d'erreur détaillés
Liste des répertoires
Journalisation en clair des informations sensibles
Secrets côté client
Exposition excessive des données API
Dépôts et historique Git publiques
Répertoire Git déployé

Jour 2

Validation des saisies

Côté client, côté serveur ou les deux ?
Pollution des paramètres HTTP
Assignation de masse

Cross-Site Scripting (XSS)

Les XSS sont omniprésentes
Types de XSS
Quel impact ?
Comment se protéger

Injections SQL (SQLI)

De quoi s'agit-il ?
Quel impact ?
Comment se protéger
Présentation de SQLMap
Injection NoSQL

Server-Side Request Forgery (SSRF)

De quoi s'agit-il ?
Quel impact?
Comment se protéger

Autres formes d'injections

Injection HTML
Injection de code
Injection de commandes système

Fichiers

Problèmes courants liés aux fichiers
Téléchargement de fichiers arbitraires
Traversée de chemin
Inclusion de fichiers locaux et distants

Jour 3

Authentification et vulnérabilités

Authentification
Enumération des utilisateurs
Questions de sécurité et Rate Limit
Authentification multifacteur

Mots de passe

Cryptographie en bref : codage, hachage, chiffrement
Politique de sécurité des mots de passe
Fuites de mots de passe
Stockage des mots de passe
Outils de cassage

Cookies

Attributs des cookies : secure, httponly, domain, samesite...
Détournement de session

Cross-Site Request Forgery (CSRF)

Qu'est-ce que c'est ?
Quel impact?
Comment se protéger

Détournement de clic

Qu'est-ce que c'est ?
Quel impact?
Comment se protéger

Autorisation et contrôle d'accès

Authentification vs. autorisation
Rôles et permissions
Référence directe d'objet non sécurisée

Cross-Origin resource sharing (CORS)

Rappel à propos de Same-Origin Policy
Erreurs de configuration possibles
Quel impact?
Comment se protéger

Méthodes mobilisées

Un formateur validé par nos équipes techniques et pédagogiques sera présent pendant toute la durée de la formation
Pour les formations en présentiel, une salle de formation sera mise à disposition et équipée d'ordinateurs portables, d'un accès Wi-Fi, d'un projecteur et d'un tableau blanc. En distanciel la session sera suivie sur Zoom ou autre outil de visioconférence sur demande (Teams, Webex, Google Meet...).
Un support de cours en version numérique sera remis à chaque participant

Modalités d’évaluation

Questions orales ou écrites (QCM)
Exercices pratiques
Auto-positionnement en amont et aval de la formation

Accessibilité aux personnes handicapées

Nous nous engageons à rendre notre formation Hacking & Sécurité des Applications Web accessible aux personnes en situation de handicap. Merci de nous contacter afin que nous puissions réaliser les adaptations nécessaires en amont de la formation.

Demander un devis

Inter-Entreprise

Durée :

3 jours

Tarif 2025 :

1980 euros

Prochaines sessions :

juillet 2025

Paris ou classe virtuelle

septembre 2025

Paris ou classe virtuelle

novembre 2025

Paris ou classe virtuelle

Modalités et délais d'accès :

Nos sessions sont garanties à partir de 2 participants. Afin d'obtenir le meilleur niveau de qualité, nous les limitons à 8 participants.

Vous pouvez vous inscrire jusqu'à 48h avant le début d'une session confirmée.

Si la session ne comptait pas suffisamment d'inscrits nous vous proposerons un report à la session suivante ou bien de suivre la formation Hacking & Sécurité des Applications Web en cours-particulier à un tarif préférentiel.

Intra-Entreprise

Durée :

3 jours (personnalisable)

Tarif 2025 :

Sur demande

Un programme sur mesure :

Nous vous contacterons sous 48h avec notre formateur afin de déterminer un programme et une durée adaptée à vos besoins.

Le programme de la formation Hacking & Sécurité des Applications Web étant entièrement personnalisable.

Délais d'accès :

Il faut compter au minimum 8 jours entre la prise de contact et le début de la session.

Ce délai peut être rallongé selon les modifications apportées au programme standard, la disponibilité de la salle ou du formateur, en cas d'attente de la confirmation de prise en charge par votre OPCO.

Lieu :

Nos sessions intra-entreprise peuvent se dérouler en présentiel ou en classe virtuelle.

Nos avons déjà organisé des sessions de formations en France (y compris en outre-mer), Allemagne, Suisse, Belgique, Luxembourg, Suède, Tunisie et la plupart de nos formateurs sont mobiles dans le monde entier.

Nos formateurs sont déjà intervenus à Paris, Lyon, Bordeaux, Marseille, Nantes, Nice (y compris Sophia Antipolis), Toulouse, Strasbourg, Montpellier, Rennes, Lille, Grenoble, Angers, Caen, Nîmes, Metz, Dijon, Aix-en-Provence, Brest, Rouen, Reims, Saint-Étienne, Nancy, Limoges, Le Havre, Toulon, Clermont-Ferrand, Le Mans, Tours, La Rochelle, Orléans, Avignon, Besançon, Annecy, Amiens, Poitiers, Pau, Perpignan, Mulhouse, Bayonne, Cannes, Chambéry, Dunkerque, Lorient, Colmar, Belfort, Fort-de-France (Martinique), Point-à-Pitre (Guadeloupe), Saint-Denis (La Réunion), Charleroi, Liège, Namur, Mons, La Louvière, Tournai, Berne, Fribourg, Lausanne, Sion, Neuchâtel, Genève, Delémont ainsi que dans des dizaines d'autres villes.

Langues :

La formation Hacking & Sécurité des Applications Web peut être animée en français mais aussi comme d'autres langues comme l'anglais. Merci de nous contacter afin de confirmer les langues disponibles.

Formations associées

Hacking & Sécurité des Applications Web Avancé

Initiation aux Pentests

Dernière modification le 24/06/2025