Retour aux formations
Niveau : Intermédiaire à Avancé

🔥 Formation : Pentest Web et Sécurité Applicative

Former les participants aux méthodologies et techniques d'attaques sur les applications web, leur permettant d'identifier et d'exploiter des vulnérabilités dans un cadre légal.

Aperçu de la formation

🎯 Objectif général : Former les participants aux méthodologies et techniques d'attaques sur les applications web, leur permettant d'identifier et d'exploiter des vulnérabilités dans un cadre légal.

📌 Public cible : Pentesters, développeurs, administrateurs web, professionnels en cybersécurité, étudiants avancés en informatique.

Durée

Durée : 3 mois (12 semaines, 2 sessions/semaine)

Prérequis

  • Connaissances de base en HTTP, HTML, JavaScript et SQL
  • Familiarité avec les systèmes Linux et Windows
  • Expérience de base en scripting (Python, Bash)

Format

Présentiel ou à distance, avec labos pratiques

Programme détaillé

1

Introduction au Pentest Web et à la Sécurité Applicative

  • Introduction aux concepts de pentesting web
  • Les standards de sécurité (OWASP Top 10, NIST, ISO 27001)
  • Méthodologie d'un test d'intrusion web
  • Présentation des outils de pentest web : Burp Suite, ZAP, SQLmap, Nikto
2

Comprendre le Fonctionnement des Applications Web

  • Protocoles web (HTTP/HTTPS, REST, SOAP, GraphQL)
  • Authentification et gestion des sessions
  • Présentation des bases de données et requêtes SQL
  • Démonstration : Analyse des échanges HTTP avec Burp Suite
3

Reconnaissance et Cartographie d'une Application Web

  • OSINT et reconnaissance passive sur des cibles web
  • Crawling et fingerprinting avec WhatWeb, Wappalyzer
  • Énumération des fichiers et endpoints cachés (dirb, gobuster)
  • Démonstration : Cartographie d'un site et identification des points d'entrée
4

Injection et Exécution de Commandes (SQLi, XSS, RCE)

  • Injection SQL classique et avancée (SQLmap, SQLi Blind)
  • Cross-Site Scripting (Stored, Reflected, DOM-based XSS)
  • Injection de commandes système (RCE) et exécution arbitraire de code
  • Démonstration : Exploitation SQLi et XSS sur des cibles vulnérables
5

Attaques sur l'Authentification et la Gestion des Sessions

  • Brute-force et contournement des authentifications (Hydra, Burp Intruder)
  • Attaque sur JWT, OAuth, SAML, et manipulation de tokens
  • Session hijacking et fixation de session
  • Démonstration : Contournement d'authentification et vol de session
6

Attaques sur la Logique Applicative et API

  • Bypass des restrictions d'accès et élévation de privilèges
  • Attaques sur les API REST et SOAP (Postman, Burp Repeater)
  • Exploitation de vulnérabilités SSRF, XXE et IDOR
  • Démonstration : Exploitation d'une API vulnérable
7

Attaques CSRF, File Inclusion et Exploitation Avancée

  • Attaques Cross-Site Request Forgery (CSRF)
  • File Inclusion (LFI/RFI) et exécution de code sur le serveur
  • Contournement des protections WAF et analyse des logs
  • Démonstration : Exploitation de vulnérabilités avancées
8

Post-Exploitation et Maintien de l'Accès

  • Élévation de privilèges après compromission web
  • Dumping de bases de données et exploitation des données
  • Création de webshells et backdoors persistantes
  • Démonstration : Webshell et escalade de privilèges sur un serveur
9

Contre-mesures et Sécurisation des Applications Web

  • Protection contre les injections SQL et XSS
  • Meilleures pratiques pour l'authentification et la gestion des sessions
  • Implémentation d'un Content Security Policy (CSP)
  • Détection des attaques avec des outils comme ModSecurity, Fail2Ban
10

Reporting et Rédaction d'un Rapport de Pentest Web

  • Structuration d'un rapport de pentest
  • Présentation des résultats aux équipes techniques et métiers
  • Recommandations et plans de mitigation
  • Démonstration : Rédaction d'un rapport de pentest complet

Méthodologie Pédagogique

Théorie

Présentation interactive avec slides et vidéos

Pratique

Ateliers sur labos vulnérables (TryHackMe, HackTheBox, WebGoat, DVWA)

Évaluation

Challenges CTF, exercices pratiques, mini-pentest

Support

Scripts, documentation et méthodologie fournis en fin de formation

Objectifs à la fin de la formation

Comprendre les principales vulnérabilités web et les techniques d'exploitation

Savoir utiliser les outils de pentest web pour identifier et exploiter des failles

Être capable d'effectuer un test d'intrusion sur une application web

Savoir rédiger un rapport de pentest et proposer des contre-mesures