Module 3 : Intrusion sur les applications Web

Ce module s’adresse à des personnes disposants de connaissances techniques et souhaitant parfaire leurs connaissances des vulnérabilités sévères modernes. Le module a pour but de présenter, en s’appuyant sur de nombreux cas pratiques, les différentes réflexions et observations permettant de guider l’expert dans sa découverte de vulnérabilités.

• Introduction (déroulement d’une intrusion, méthodologie et concepts généraux, démarches et ressources)
• BurpSuite (utilisation de BurpSuite dans le cadre d’une intrusion en boite noire, possibilités et limites de BurpSuite, raccourcis et mécanismes d’automatisation, Extensions)
• Reconnaissance (surface d’attaque, outillage)
• Méthodologies et démarche (caractère itératif du processus, vulnérabilités logiques, gestion de mécanismes communs : authentification, contrôle d’accès, entrées utilisateurs, identification des technologies côté client et côté serveur)
• Etude et exploitation des vulnérabilités avancées (Tour d’horizon des vulnérabilités applicatives : XXE, SSRF, injections, SSTI, Prototype, pollution, attaques cryptographiques, attaques des mécanismes d’authentification, GraphQL, vulnérabilités spécifiques au cloud)
• Etude et exploitation de vulnérabilités spécifiques (Java, PHP, Python/Django, Perl)

Capacité d’identification et d’exploitation des vulnérabilités Web. Capacité de faire des recommandations de correction et de remédiation sur les vulnérabilités Web.  

Capacité de réaliser des développements sécurisés.