Public : Consultants en sécurité, pentesters Ingénieurs / techniciens sécurité - Administrateurs systèmes / réseaux impliqués dans la sécurité Web - Développeurs souhaitant comprendre la logique offensive pour mieux sécuriser leurs applications
Durée : 5 jour(s)
Pré-requis : Bonne connaissance du modèle HTTP, des architectures Web et des concepts d’API - Connaissances de base en tests d’intrusion (ou suivi de « Hacking et sécurité – Les fondamentaux » / « Niveau avancé ») - À l’aise avec les environnements Linux et les outils d’analyse Web (proxy, logs, etc.)
Objectifs : Comprendre en profondeur les spécificités de la sécurité des applications Web et des API - Identifier les faiblesses logiques et techniques des applis Web modernes et des API (authentification, autorisation, session, données) - Disposer des compétences nécessaires pour conduire des tests d’intrusion avancés en environnement contrôlé et interpréter les résultats - Être en mesure de proposer des contre-mesures concrètes et de dialoguer efficacement avec les équipes de développement
Sanction : Attestation de fin de formation mentionnant le résultat des acquis
Référence : CYB102748-F
Accessibilité : Si vous êtes en situation de handicap, nous sommes en mesure de vous accueillir, n'hésitez pas à nous contacter à referenthandicap@dawan.fr, nous étudierons ensemble vos besoins
Contact : commercial@dawan.fr
3 975,00 € HT
Identifier les spécificités des attaques ciblant les applications Web et les API par rapport aux attaques infrastructurelles
Revoir les grands principes du protocole HTTP, des sessions, des cookies, des jetons et des APIs REST / GraphQL
Comprendre les catégories de vulnérabilités les plus courantes (injection, authentification, autorisation, gestion des sessions, exfiltration de données)
Relier chaque type de vulnérabilité à des risques métiers concrets (fuite de données, fraude, prise de contrôle de comptes, atteinte à l’image)
Atelier fil rouge : cartographier une application Web ou une API type (zones fonctionnelles, chemins critiques, données sensibles)
Structurer les étapes d’un test : reconnaissance fonctionnelle, cartographie, identification des surfaces d’attaque, priorisation des tests
Utiliser des proxies d’analyse de trafic pour observer, manipuler et rejouer les requêtes dans un contexte de laboratoire
Différencier tests automatisés (scans) et tests manuels ciblés sur la logique métier
Organiser la collecte des éléments observés pour faciliter l’analyse et le reporting
Atelier fil rouge : définir une checklist de test adaptée à une application Web donnée, en fonction de ses fonctionnalités et de ses données
Comprendre les mécanismes d’authentification modernes : formulaires, SSO, OAuth / OpenID Connect, jetons, MFA
Identifier les faiblesses typiques : contournement de login, récupération inappropriée de mot de passe, verrouillage insuffisant, gestion défaillante des sessions
Étudier les problèmes d’autorisation : contrôle d’accès horizontal et vertical, exposition de données d’autres utilisateurs, API mal filtrées
Proposer des stratégies de renforcement en lien avec les équipes de développement et d’archi
Atelier fil rouge : à partir de cas de tests en labo, identifier les symptômes de faiblesses d’authentification / autorisation et proposer des mesures de remédiation
Revoir les risques liés aux entrées utilisateurs non maîtrisées : injections, exfiltration, exposition de données sensibles
Comprendre les problématiques d’injections dans différents contextes (SQL, commandes, gabarits, etc.) dans un cadre pédagogique
Identifier les défauts de validation côté client vs côté serveur et leurs conséquences
Relier ces vulnérabilités aux bonnes pratiques de développement sécurisé (validation d’entrées, requêtes paramétrées, gestion des erreurs, logs)
Atelier fil rouge : analyser des scénarios de vulnérabilités d’injection dans un environnement de test et rédiger des recommandations orientées développeurs
Comprendre les spécificités de la sécurité des API : endpoints, ressources, verbes HTTP, payloads, versioning
Identifier les risques liés aux API : sur-exposition fonctionnelle, absence de filtrage, documentation publique, erreurs de design
Analyser les réponses API : codes, messages d’erreur, métadonnées, structure des données, fuites d’information involontaires
Évaluer la robustesse des mécanismes d’autorisation côté API (jetons, scopes, claims, filtrage côté serveur)
Atelier fil rouge : travailler sur une API de démonstration, identifier les points de fragilité et proposer des correctifs organisationnels et techniques
Comprendre comment les tentatives d’attaque se traduisent dans les journaux applicatifs et d’accès Web
Identifier les indicateurs de comportement suspect : séquences de requêtes, patterns d’erreurs, volumes anormaux
Articuler les journaux applicatifs avec la supervision (SIEM, alertes) et la détection des attaques Web
Utiliser ces analyses pour ajuster les règles de sécurité applicatives (WAF, filtrage logique, limitations de débit, surveillance ciblée)
Atelier fil rouge : à partir de journaux simplifiés, reconstituer un scénario d’attaque sur une application Web et en tirer des actions de durcissement
Relier les vulnérabilités constatées aux principes de sécurité applicative (OWASP, bonnes pratiques de dev sécurisé)
Prioriser les recommandations selon l’impact, la facilité de mise en œuvre et le contexte métier
Adapter le niveau de détail des préconisations aux publics visés : développeurs, architectes, managers
Intégrer progressivement les tests d’intrusion dans le cycle de vie applicatif (CI/CD, revues de code, tests réguliers)
Atelier fil rouge : rédiger un extrait de rapport orienté « développeurs » et un extrait orienté « direction / MOA » pour une même vulnérabilité
Définir les périmètres applicatifs à tester régulièrement (applis critiques, API exposées, nouvelles fonctionnalités)
Articuler tests ponctuels, revues de code, scans réguliers et exercices de défense (blue team)
Intégrer les retours des tests dans les référentiels internes (guides de développement, standards d’architecture)
Planifier sa propre montée en compétences (hacking Web avancé, API, mobile, bug bounty, etc.)
Atelier fil rouge final : élaborer une feuille de route annuelle de tests Web / API et d’amélioration continue pour une organisation type
Délai d'accès :Le délai d’accès à la formation certifiante est de 7 jours après validation du dossier. Dans le cas d’un financement via votre CPF, la validation de votre dossier devra être réalisée 11 jours ouvrés avant le début de formation
Modalités d’évaluation : Les évaluations en cours de formations sont réalisées par les ateliers de mise en pratique et les échanges avec les formateurs
Pour suivre une session à distance depuis l'un de nos centres, contactez-nous.
Aucune date de programmée actuellement. Pour plus d'information sur les prochaines sessions, nous vous invitons à joindre le service commercial par téléphone au 09 72 37 73 73 (prix d'un appel local) ou depuis notre formulaire de contact.
Bât Ravezies - 2e étage 250 avenue Emile Counord
33300 Bordeaux
Liaison directe de la gare Bordeaux Saint-Jean via le tram C
Rue de la Loi, 23
1040 Bruxelles
32 Boulevard Vincent Gâche
44000 Nantes
c/o CCI France Suisse Route de Jussy 35 Case postale 6298
CH-1211 Thônex - Genève
46 rue des Canonniers - 2è étage
59800 Lille
Proche des deux gares
5 Rue Goethe
L-1637 Luxembourg
62 rue de Bonnel - 1er étage Ascenseur à droite de l'entrée
69003 Lyon
38/40 rue de la République Escalier A, 1er étage
13001 Marseille
A proximité du vieux port
26 Allée de Mycènes Le Thèbes, Bât. A, 3è étage
34000 Montpellier
Quartier Antigone
32 Boulevard Vincent Gâche 5 ème étage
44200 Nantes
455 promenade des Anglais Bât Arenice, 7è étage
06200 Nice
11 rue Antoine Bourdelle
75015 Paris
dans le 15e arrondissement
3 place du Général Giraud
35000 Rennes
4 rue de Sarrelouis - 4è étage
67000 Strasbourg
1 place Occitane Bât. Le Sully - 4è étage
31000 Toulouse
Proche de Jean-Jaurès et du Capitole