Formation Tests d’intrusion d’applications Web et API : Initiation

Public : Pentesters et auditeurs sécurité Développeurs et architectes souhaitant renforcer la sécurité Web/API Ingénieurs sécurité, RSSI et consultants techniques impliqués dans des audits applicatifs

Durée : 3 jour(s)

Syllabus de la formation Tests d’intrusion d’applications Web et API : Initiation

Pré-requis : Bonnes bases en HTTP/HTTPS, API REST et JSON - Connaissances en sécurité Web (OWASP Top 10) et notions de pentest - Aisance avec un environnement Linux et l’utilisation d’outils en ligne de commande

Objectifs : Mettre en œuvre une méthodologie de test d’intrusion Web et API<br> - Tester l’authentification, la session et les contrôles d’accès principaux - Identifier les vulnérabilités majeures et leurs impacts - Formuler des recommandations correctives et exploitables

Sanction : Attestation de fin de formation mentionnant le résultat des acquis

Référence : CYB102865-F

Accessibilité : Si vous êtes en situation de handicap, nous sommes en mesure de vous accueillir, n'hésitez pas à nous contacter à referenthandicap@dawan.fr, nous étudierons ensemble vos besoins

Contact : commercial@dawan.fr

Télécharger le programme

INTER INTRA DISTANCE TUTORAT

2 775,00 € HT

Tarif plein :

Paiement à 60 jours
Report possible à J-3
3 tickets d'assistance

2 220,00 € HT

Tarif remisé :

Voir les dates
Paiement à 30 jours
Report sans frais à J-21

Contacter Dawan

Programme de Formation Tests d’intrusion d’applications Web et API : Initiation

Jour 1 – Comprendre et cadrer un test d’intrusion Web et API

Analyser les architectures Web modernes et les flux applicatifs
Revoir HTTP/HTTPS, cookies, sessions, en-têtes, CORS et CSRF
Comprendre les principes des API REST, endpoints, verbes HTTP et codes de retour
Appliquer une méthodologie de test d’intrusion applicatif
Réaliser la reconnaissance, la cartographie et la définition du périmètre
Mettre en place l’environnement de test et les outils d’analyse

Atelier fil rouge : cartographier une application Web et une API, établir une checklist initiale et prioriser les tests

Jour 2 – Tester l’authentification et la gestion de session

Identifier et analyser les mécanismes d’authentification
Tester la robustesse des mots de passe, des erreurs et des protections anti-brute force
Évaluer la gestion de session, cookies, tokens, expiration et renouvellement
Analyser les mécanismes de réinitialisation de mot de passe
Comprendre et tester les JWT, leur structure, validation et signature
Introduire OAuth2 et OpenID Connect dans le cadre d’un audit applicatif

Atelier fil rouge : tester l’authentification et la session, identifier les failles et proposer des mesures correctives

Jour 3 – Tester les autorisations et les contrôles d’accès

Distinguer authentification et autorisation dans une application
Tester les contrôles d’accès horizontaux et verticaux
Identifier les vulnérabilités de type IDOR et fuites de données
Analyser la séparation des rôles et les contournements possibles
Comparer contrôles côté client et contrôles côté serveur
Évaluer les impacts métiers et prioriser les risques

Atelier fil rouge : mettre en œuvre des scénarios de contournement de droits et formuler des recommandations

Délai d'accès :

Le délai d’accès à la formation certifiante est de 7 jours après validation du dossier. Dans le cas d’un financement via votre CPF, la validation de votre dossier devra être réalisée 11 jours ouvrés avant le début de formation. Hors certification CPF, délais d'accès de une à trois semaines en fonction des sessions ouvertes.

Méthodes mobilisées :

Un formateur expert ayant suivi une formation à la pédagogie et ayant au minimum 3 année d'expériences dans le domaine visé
Matériel pour les formations présentielles informatiques : un PC par participant
Un support et les exercices du cours pour chaque stagiaire
Synchrone en présentiel ou distanciel. Plateforme utilisée : Microsoft Teams. Pour le distanciel : diagnostic technique avec les stagiaires pour tester la connexion et les modalités pratiques.
Méthodologie basée sur l'Active Learning (75% de pratique minimum) et un programme pédagogique riche et interactif :
Expositive : Apport de contenu théorique structuré pour consolider vos connaissances.
Interrogative : Moments de réflexion pour questionner et approfondir vos pratiques.
Démonstrative : Exercices pratiques pour illustrer les concepts clés.
Active : Ateliers d'entraînement pour une mise en application immédiate.
Expérimentale : Études de cas concrets pour ancrer les apprentissages dans la réalité.
Collaborative : Espaces de partage et d'échange d'expériences pour enrichir la formation.
Un format conçu pour favoriser l'engagement, la pratique et l'impact durable dans vos activités professionnelles.

Méthodes d'évaluation :

Les évaluations en cours de formations sont réalisées par les ateliers de mise en pratique et les échanges avec les formateurs.

Un espace apprenant dédié moncompte.dawan.fr pour :

Informations relatives à la ou aux futures formations (plan, syllabus et éventuellement informations relatives à la certification)
Positionnement à l'entrée et à la sortie de la formation
Définition des besoins et attentes par l'apprenant en amont de la formation
Émargement en ligne
Évaluation à chaud
Évaluation à froid
Attestation de formation
Boissons offertes pendant les pauses en inter-entreprises
Salles lumineuses et locaux facilement accessibles
Certification CPF quand formation éligible

Suite de parcours et formations associées

Pour suivre une session à distance depuis l'un de nos centres, contactez-nous.

Aucune date de programmée actuellement. Pour plus d'information sur les prochaines sessions, nous vous invitons à joindre le service commercial par téléphone au 09 72 37 73 73 (prix d'un appel local) ou depuis notre formulaire de contact.