Description de cette formation
Cette formation immersive vous permettra d'acquérir les compétences nécessaires pour identifier, analyser et corriger les vulnérabilités Web. Vous apprendrez à exploiter les failles de sécurité des applications web les plus courantes tout en respectant un cadre légal et éthique, grâce à une combinaison de cours théoriques et de travaux pratiques sur des environnements sécurisés.
Contenu de la formation
Objectifs pédagogiques
À l’issue de la formation, les participants seront capables de :
- Comprendre les bases de la cybersécurité web et les enjeux liés aux applications web.
- Identifier et comprendre les principales vulnérabilités web
- Proposer des mesures correctives et des bonnes pratiques pour sécuriser les applications web.
- Acquérir une expérience pratique en matière de pentesting web.
Introduction à la cybersécurité web
Cette première partie pose les bases nécessaires pour comprendre le fonctionnement d’un audit de sécurité applicatif et le contexte dans lequel s’inscrit le pentest.
Thèmes abordés
- Introduction à la cybersécurité et son aspect légal
- Le Hacking Ethique
- Les outils du pentest Web
- Top 10 OWASP
Les vulnérabilités web
Cette partie constitue le cœur de la formation. Les participants apprendront à identifier, comprendre et exploiter les vulnérabilités majeures décrites dans le Top 10 de l’OWASP et au delà.
Thèmes abordés
- Les injections SQL
- Les injections de commande système
- Les failles d’upload de fichiers
- Authentification et sessions
- Cross Site Scripting (XSS)
- Droits des utilisateurs
- Problèmes de configuration de sécurité
- Divulgation d’informations sensibles et techniques
- Failles logiques
- Race Conditions
- Inclusions de fichiers et path traversal (LFI/RFI)
- Cross Site Request Forgery (CSRF)
- Open Redirection
- Composants vulnérables
- Server side templates injections (SSTI)
- Host Headers poisoning
- Sécuriser une API REST
- Les failles JWT
- Mauvaises configurations de CORS
- Les failles GraphQL
Approche pédagogique
La formation repose sur une approche très pratique, avec :
- des démonstrations en direct
- des exercices guidés
- des laboratoires pratiques
- des scénarios d’exploitation réalistes
Les participants travailleront sur une application volontairement vulnérable, reproduisant des situations rencontrées lors de véritables audits de sécurité.
Conditions de réalisation
Cette formation peut être réalisée en présentiel ou à distance, selon les besoins et les contraintes des participants. Les exercices pratiques nécessitent l’utilisation d’une machine virtuelle ou d’un environnement de laboratoire sécurisé, qui sera fourni aux participants.
Public cible
Cette formation s’adresse principalement aux développeurs, administrateurs systèmes, responsables sécurité/ DSI, consultants en cybersécurité.
Prérequis
Des connaissances de base en développement web sont recommandées pour suivre cette formation.
Modalités d'accès
L'inscription à la formation peut se faire en ligne ou après un entretien en visioconférence.
Délai d'accès
Le délai d'accès à la formation est généralement de 2 à 4 semaines, en fonction des disponibilités des participants et de l'organisation de la session.
Modalités d'accessibilité
La formation étant réalisée principalement à distance, elle est accessible aux personnes à mobilité réduite. En cas de réalisation en présentiel, la formation sera réalisée dans des locaux accessibles aux personnes à mobilité réduite.
Modalités d'encadrement
La formation est assurée par un expert en cybersécurité avec près de 10 ans d'expérience en cybersécurité offensive.
Suivi pédagogique
Les supports de cours au format PDF seront fournis aux apprenants. Par ailleurs, des plateformes d’entraînement en ligne à la cybersécurité seront utilisées.
Suivi de l'exécution
Un émargement en ligne quotidien sera effectué pour suivre la présence des participants.
Suivi des résultats
En fin de formation, un QCM sera effectué par les apprenants afin de valider leurs acquis.
FAQ
Quels outils vais-je utiliser durant la formation ?
La formation va vous faire utiliser des outils de pentest web couramment utilisés dans l'industrie, tels que Burp Suite, SQLMap, Kali Linux et d'autres outils open-source.
Avec quoi vais-je repartir à la fin de la formation ?
Le support de cours complet en format PDF vous sera fourni, ainsi que des ressources supplémentaires pour continuer votre apprentissage.
La formation est-elle pratique ?
Oui, la formation est axée sur la pratique avec de nombreux exercices et des sessions de pentesting sur des environnements sécurisés.