Hacking Éthique Tests d’intrusion et sécurité web

Hacking Éthique : Tests d'intrusion et sécurité web

MP4 | Video: AVC 1280×720 | Audio: AAC 44KHz 2ch | Duration: 6 Hours
Genre: eLearning | 793 MB | Language: French

What you’ll learn

  • Comprendre et savoir détecter les failles web.
  • Comprendre comment corriger les problèmes de sécurité des applications web.
  • Comprendre le fonctionnement d’un site web.
  • Comprendre comment mettre en place un environnement de test volontairement faillible.

Requirements

  • Vous devez avoir des notions de bases sur Internet et l’informatique.
  • Vous devez avoir une machine Windows ou Linux (Mac non testé).
  • Vous devez savoir différencier “Hacking éthique” de “piratage informatique”

Description

Bienvenue dans ce cours vidéo sur la sécurité web !

Ce cours se focalise entièrement sur la sécurisation de sites web. Nous passerons par la démarche classique du hacking éthique : apprendre et comprendre les attaques afin de nous en protéger concrètement.

Vous allez mettre en place un environnement de test avec des machines virtuelles Kali Linux, Metasploitable et Windows 10 afin d’installer des applications web volontairement vulnérables que l’on pourra attaquer sans rien casser.

Vous découvrirez les diverses failles web à travers des modules pratiques vous permettant de passer d’un niveau débutant à un niveau plus avancé.

Le cours est divisé en 14 sections

1. Introduction

Vous découvrirez ce que vous allez apprendre dans ce cours et ce que vous saurez faire à l’issue de celui-ci.

2. Mise en place de notre environnement de test

Vous allez installer Kali Linux, Metasploitable et Windows 10 en tant que machines virtuelles. La méthode d’installation a été simplifiée au maximum pour vous éviter toutes démarches fastidieuses.

3. Fonctionnement d’un site web

Nous mettrons en place les fondations avant de continuer : comment fonctionne un site web et comment interagissent les divers composants, comment fonctionnent DNS, HTTP et HTTPS.

4. La récupération d’informations

Une étape trop souvent oubliée qui permet à un attaquant d’en apprendre beaucoup sur votre site web et sur votre organisation. Nous passerons en revue divers services et outils permettant à des attaquants de découvrir de précieuses informations sur vos produits et ressources. Vous saurez les utiliser sur vos sites avant qu’on ne le fasse contre vous et afin de corriger les problèmes en amont.

5. L’injection SQL

Nous passerons longuement en revue la faille web la plus populaire du moment. Vous découvrirez différentes façons de l’exploiter et comprendrez l’importance de non seulement vous en protéger mais en plus de bien savoir le faire.

6. Injection SQL avancée

Nous donnerons davantage d’exemples et nous expliquerons pourquoi les concepts de sécurité doivent bien être maîtrisés pour offrir une sécurité efficace et complète.

7. Installation de Mutillidae 2 sous Windows

Cette section est volontairement placée plus loin dans le cours pour pouvoir pratiquer au plus vite, nous l’introduisons dès lors que nous aurons besoin d’utiliser des pages spécifiques présentes sous Mutillidae 2. Vous saurez ainsi comment installer cette application web vulnérable “à la main” sur un système Windows 10.

8. Problèmes d’authentification et de session

Les vols de sessions, la faille CSRF (Cross site request forgery) et les bruteforces sont au programme de cette section. Vous obtiendrez des démonstrations de ces problèmes de sécurité ainsi que les moyens de vous en prémunir.

9. Inclusion de fichiers

Les failles LFI (Local File Inclusion) et RFI (Remote File Inclusion) aussi appelées “Faille Include” seront étudiées. Vous découvrirez que ce n’est pas parce qu’une faille n’est pas très connue qu’elle n’est pas très dangereuse…

10. Mauvaises configurations de sécurité

Dans cette section, nous allons regrouper les soucis courants liés à des mauvaises configurations de sécurité : la faille file upload permettant à un pirate d’uploader des fichiers arbitraires sur un serveur, le clickjacking, l’injection de commandes et le déni de service.

11. La faille XSS (Cross-site scripting)

Probablement l’une des failles les plus connues qui permet à un attaquant d’injecter du script arbitraire dans des sites web vulnérables. Vous découvrirez les différentes possibilités d’exploitation et les contre-mesures.

12. Utilisation de composants vulnérables

Il s’agit d’une section très importante dans laquelle on insistera sur la faille humaine qui rend toute notre infrastructure vulnérable. Démonstration avec un plugin vulnérable et un thème backdooré sous WordPress. Avec bien entendu des conseils de sécurité spécifiques à WordPress.

13. Outils de scanning et de test de vulnérabilités

Nous passerons à l’exécution d’outils automatisés afin d’épauler le hacker éthique dans sa tâche de sécurisation de sites web.

14. Conclusion

Conclusion de ce cours et derniers conseils.

Le cours s’adresse aux débutants et initiés en priorité. Vous  saurez à la fin de chaque session comment détecter et corriger  concrètement les diverses vulnérabilités. Vous aurez également un quiz  de fin de section et diverses ressources additionnelles pour compléter  les vidéos.

Ce que vous saurez faire à la fin de ce cours :

• Comprendre et savoir détecter les failles web

• Comprendre comment corriger les problèmes de sécurité des applications web

• Comprendre le fonctionnement d’un site web

• Comprendre comment mettre en place un environnement de test volontairement faillible

• Et bien d’autres…

NOTE: Les systèmes, programmes et méthodologies de ce cours sont utilisés à but éducatif et préventif uniquement. Toutes les  autorisations ont été reçues au préalable et toutes les précautions  nécessaires ont été mises en place pour assurer un apprentissage légal  et sans risque pour autrui. Vous restez cependant les responsables de  vos actions et aucune responsabilité ne sera engagée quant à la mauvaise  utilisation du contenu enseigné. En d’autres termes, ce cours n’est pas  destiné aux apprentis pirates informatiques.  

Crédits image : shutterstock.

Who this course is for:

  • Les (futurs) webmasters ou développeurs web.
  • Les étudiants en (sécurité) informatique.
  • Les propriétaires de petites entreprises.
  • Les personnes souhaitant se mettre à jour dans ce milieu.
  • Les personnes souhaitant se lancer sur le web.

Download

Link

Leave a Reply

Your email address will not be published. Required fields are marked *