HSC   Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Training courses > Tests d'intrusion des applications web et hacking éthique
Go to: HSC main site
Download the training catalog
Search:  
Version française
   Training courses   
o Planning
o LSTI Training courses
o SANS Training courses
o Certifications
o Formations universitaires
   E-learning   
o E-learning HSC
o ISO 27001
o PHP security
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
   HSC est certifié OPQF   
logo OPQF
|>|Tests d'intrusion des applications web et hacking éthique  
Training courses
See also...
o Organization of the courses
o Training sessions planning
o Penetration tests
o Defending Web Applications Security Essentials - SANS DEV522
o Tests d'intrusion et hacking éthique - SANS SEC560
o Advanced Penetration Testing, Exploits and Ethical Hacking - SANS SEC660
o Advanced Web App Penetration Testing and Ethical Hacking - SANS SEC642
o Theme news
o Theme advisories
o HSC Newsletter
o How to request an intervention
o Goals
o Certification
o Duration
o Instructor(s)
o Pre-requisite for attendants
o Teaching method
o Related courses
o Material
o Agenda
o Methods of inscription

Dates of the coming sessions:
> 15-19 May 2017 (Paris)
> 16-20 October 2017 (Paris)
Dates subject to modification without prior notice. The sessions will only take place if the number of registered attendants is high enough.
 


Goals


Certification


Duration

5 days (9h00-18h30)


Instructor(s)

This training is given by:


Pre-requisite for attendants


Teaching method


Related courses

Les autres cours techniques HSC permettent d'approfondir les risques et les actions de sécurisation à mener sur les technologies abordées dans le cours.

On pourra citer entre autre :


Material

Le support de cours est intégralement en anglais.


Agenda

Le plan est issu de la formation SEC 542 du SANS et suit donc le programme décrit à l'adresse :
https://www.sans.org/course/web-app-penetration-testing-ethical-hacking

Le plan des formations est susceptible d'être modifié sans préavis pour être en accord avec les dernières modifications de leur contenu réalisées par SANS.

  1. Introduction au web et aux tests d'intrusion applicatifs
    • Présentation du web pour un pentester
    • Diversité des serveurs et clients web
    • Diversité des architectures web
    • Fonctionnement des sessions d'état
    • Les différents types de vulnérabilités
    • Définition du périmètre et du processus d'intrusion
    • Les différents types de tests d'intrusion
  2. Phases de reconnaissance et de cartographie
    • Découverte de l'infrastructure applicative
    • Identification des machines et systèmes d'exploitation mis en jeu
    • Configurations SSL et faiblesses associées
    • Etude de l'hébergement virtuel et son impact sur les tests
    • Identification des répartiteurs de charge
    • Découverte de la configuration logiciel
    • JavaScript pour les attaquants
  3. Phase de découverte de vulnérabilités
    • Création de scripts adaptés aux tests
    • Python pour les tests d'intrusion web
    • Méthodologies de recherche de vulnérabilités et vérifications manuelles
    • Utilisation de proxys lors des tests
      • Fiddler
      • OWASP Zed Attack Proxy
      • Burp Suite
    • Fuite d'information et lecture de répertoire
    • Récupération d'identifiants
    • Injection de commandes
    • Traversée de répertoires
    • Injection SQL
    • Injection SQL en aveugle
  4. Phase de découverte de vulnérabilités (suite)
    • Cross-Site Scripting (XSS)
    • Cross-Site Request Forgery (CSRF)
    • Failles dans la gestion de sessions
    • Méthodologies de test pour les applications basées sur Ajax
      • Logique applicative
      • Attaques sur des API de conception AJAX
      • Analyse du traitement des données
      • RatProxy
    • Recherche automatique de vulnérabilités web
      • SkipFish
      • w3af
  5. Exploitation
    • Etude des navigateurs zombies (rebond sur un reseau interne)
    • Frameworks d'attaque
      • AttackAPI
      • BeEF
      • XSS-Proxy
    • Elaboration d'un scénario d'attaque complet
    • Exploitation des vulnérabilités découvertes
      • Elévation de privilèges sur le système sous-jacent
      • Utilisation de l'application web comme pivot
      • Interaction avec un serveur à travers une injection SQL
      • Vol de cookies
      • Execution de commandes via les vulnérabilités de l'application web
  6. Capture the Flag (CTF)


Methods of inscription

For registering an HSC course, please contact our training department by phone : +33 141 409 704 or by email at formations@hsc.fr, with first and last name of every student, your postal address and your company VAT number. Thoses informations enable us to send your the training agreement. The training agreement must be return agreed with signature and company stamp with you purchase order, at least 15 days before the course. This strict delay is imposed by SANS. The purchase order should precise your billing address and our payment regulations : net 30 days from our invoice date. Registration is completed as soon as we received those two documents.

Last modified on 3 September 2014 at 15:09:34 CET - webmaster@hsc.fr
Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants