![Page 1: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/1.jpg)
04/05/2016
1
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Hacking & Sécurité, ExpertModule :
Vulnérabilités Web
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 2: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/2.jpg)
04/05/2016
2
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan• Présentation du formateur
• Mes formations sur Alphorm
• Le plan de formation
• Objectifs de la formation
• Publics concernés
• Connaissances requises
• Liens utiles
![Page 3: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/3.jpg)
04/05/2016
3
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Présentation du formateurKondah Hamza• [email protected]
• Consultant & Chercheur Sécurité informatique
• Microsoft MVP en sécurité des entreprises
• Conférencier
• Mes références :
� Mon profil LinkedIn : https://ma.linkedin.com/in/kondah
� Mon profil Microsoft MVP : https://mvp.microsoft.com/en-us/PublicProfile/5000286?fullName=Kondah Hamza
� Mon Site Web : http://www.kondah.com
� Profil Alphorm : http://www.alphorm.com/formateur/hamza-kondah
![Page 4: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/4.jpg)
04/05/2016
4
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Mes formations sur Alphorm
![Page 5: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/5.jpg)
04/05/2016
5
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Hacking & Sécurité
Réseaux sans fils
Reconnaissance & Scanning
Vulnérabilités web
Vulnérabilités réseaux
Metasploit
Exploitation
Forensic
Mobile
Reporting
Mise en situation
Contre mesures
Reverse Engineering
Vulnérabilité applicatifs
![Page 6: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/6.jpg)
04/05/2016
6
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan de la formation• Introduction
• Reconnaissance
• Exploitation
• Client Side
• Authentification
• CMS
• Contremesures et reporting
• Conclusion et perspectives
![Page 7: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/7.jpg)
04/05/2016
7
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Objectifs de la formation• Test de pénétration d’applications web
• Comprendre l’architecture et analyser la surface d’attaque
• Exploitation basique et avancée
• Attaques au niveau de plusieurs couches
• Approfondir ses connaissances en pentesting d’applications web
• Adopter une approche offensive
• Protéger vos applications web
• Structuration de connaissances
• Mise en situation réel
![Page 8: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/8.jpg)
04/05/2016
8
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Publics concernés• Particulier
• Pentesteur
• Consultant
• Développeur
• Responsables DSI
• Responsables sécurité SI
• Toute personne en charge de la sécurité
• Personne désirant apprendre de nouvelles choses ;)
![Page 9: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/9.jpg)
04/05/2016
9
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Connaissances requises
• Culture IT
• Culture dans la sécurité des applications web
• Connaissances en programmation web ( PHP , Javascript ,HTML etc..)
• Avoir suivis les deux premiers niveaux
![Page 10: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/10.jpg)
04/05/2016
10
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Liens utiles
• www.securitytube.net/
• https://www.owasp.com
• http://infosecinstitute.com
![Page 11: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/11.jpg)
04/05/2016
11
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Déclinaison de responsabilité• Cette formation a pour objectif de vous sensibiliser sur les failles de vos
SI et comment les protéger. Et en aucun cas vous encourage à faire des dégâts matériels ou immatériels à une personne physique ou moral.
• En aucun cas on pourra tenir responsable ni le formateur Hamza KONDAH ni Alphorm directement ou indirectement, des usages directs ou indirects de quelconque qui a suivi ou appliqué les techniques enseignées dans cette formation.
• On vous enseigne comment protéger et pas comment nuire aux autres.
![Page 12: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/12.jpg)
04/05/2016
12
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Are you ready ? ☺
![Page 13: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/13.jpg)
04/05/2016
13
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Mise en situation
Introduction
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 14: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/14.jpg)
04/05/2016
14
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• Quelques statistiques
![Page 15: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/15.jpg)
04/05/2016
15
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Démocratisation
• Ouverture
• Stockage de données sensibles
• Vie privée
• Confiance
• Social Engineering
• Sécurité ?
• Une nécessité !
•
![Page 16: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/16.jpg)
04/05/2016
16
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Quelques statistiques• 99 % des sites web on en moins 1 vulnérabilité
• 82 % de sites web on en moins une vulnérabilité critique
• 90 % des incidents ne sont jamais révélés
• 30 % des parties piratés on déjà eu connaissance de la faille
• #1 Cross Site Scripting
• #1 Des exploitations : Humain
![Page 17: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/17.jpg)
04/05/2016
17
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
•Mise en situation
![Page 18: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/18.jpg)
04/05/2016
18
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Méthodologie de test de pénétration d'applications web
Introduction
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 19: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/19.jpg)
04/05/2016
19
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• Méthodologie
![Page 20: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/20.jpg)
04/05/2016
20
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction
• Ingénierie organisationnelle
• Gestion des connaissances
• Efficience
• Point de départ
![Page 21: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/21.jpg)
04/05/2016
21
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Méthodologie
• Black Box
• White Box
• Grey Box
• Contractuelle
• Interne ou externe
• Engagement
• Limites
![Page 22: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/22.jpg)
04/05/2016
22
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Méthodologie• Cible
• Temps
• Evaluation
• Partis notifiés
• Identification
• Flag
• Livrable
• Test de pénétration
![Page 23: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/23.jpg)
04/05/2016
23
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Méthodologie de test de pénétration d'applications web
![Page 24: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/24.jpg)
04/05/2016
24
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Mise en place du lab
Introduction
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 25: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/25.jpg)
04/05/2016
25
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• Architecture
• Lab : Mise en place du lab
![Page 26: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/26.jpg)
04/05/2016
26
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Découverte des éléments du lab
• Paramétrage
• Pas forcement « EXACTEMENT » ce qu’on est entrain de faire
• Une des étapes les plus importantes
• Tester avant de continuer
• Ne pas passer par cette vidéo
![Page 27: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/27.jpg)
04/05/2016
27
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Architecture
![Page 28: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/28.jpg)
04/05/2016
28
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Lab : Mise en place du lab
![Page 29: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/29.jpg)
04/05/2016
29
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
•Mise en place du lab
![Page 30: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/30.jpg)
04/05/2016
30
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction
Reconnaissance
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 31: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/31.jpg)
04/05/2016
31
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• Lab : Introduction à la reconnaissance
![Page 32: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/32.jpg)
04/05/2016
32
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Base pyramidale
• Orientation
• Recherches
• Maximum de source
• Passif � Actif
• Bases de données public
• Important : La reconnaissance n’est pas le scanning
• Pensez Social engineering !
• PS : Tout dépend du point de départ ( Black,Grey ou white box)
• Google Hacking Dorks ;)
![Page 33: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/33.jpg)
04/05/2016
33
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Lab : Introduction à la reconnaissance
![Page 34: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/34.jpg)
04/05/2016
34
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Reconnaissance
• La reconnaissance n’est pas le scanning
• Google Hacking Dorks
• Recherches initiales
![Page 35: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/35.jpg)
04/05/2016
35
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
OWASP
Reconnaissance
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 36: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/36.jpg)
04/05/2016
36
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• OWASP TOP 10
• Lab : OWASP
![Page 37: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/37.jpg)
04/05/2016
37
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Open Web Application Security Project (OWASP)
• Communauté (Actif ) travaillant sur la sécurité des applications Web
• Libre et ouverte à tous
• Recommandations de sécurisation Web
• Méthodes et outils de référence
• Plusieurs projets
![Page 38: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/38.jpg)
04/05/2016
38
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
OWASP TOP 10
![Page 39: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/39.jpg)
04/05/2016
39
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
OWASP TOP 10
![Page 40: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/40.jpg)
04/05/2016
40
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Lab : OWASP
![Page 41: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/41.jpg)
04/05/2016
41
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert• Importance OWASP
• Contenu Riche et à jours
• Open Source
• Contribuez !
• Dans la prochaine présentation � Découverte des vulnérabilités qu’on va pouvoir exploiter ensemble suivis par le scanning et découverte de ces vulnérabilités en utilisant différents outils et techniques .
![Page 42: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/42.jpg)
04/05/2016
42
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Scanning de base et énumération
Reconnaissance
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 43: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/43.jpg)
04/05/2016
43
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• Objectifs
• Lab : Scanning
![Page 44: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/44.jpg)
04/05/2016
44
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Une question de choix
• Outils selon les besoins et le niveau
• Ingénierie organisationnelle
• Simplicité & puissance � Lecture plus facile + efficacité
• Pensez reporting ( pourquoi pas )
• Interopérabilité
• Exportation
• Attention aux faux positifs � Toujours tester à la main
• Ne pas se fier à 100 % aux scanners
![Page 45: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/45.jpg)
04/05/2016
45
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Objectifs• Organisation et Structuration
• Compréhension du mécanisme de fonctionnement
• Politique
• Dispositifs
• Cible
• Technologie
• Défense
![Page 46: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/46.jpg)
04/05/2016
46
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Lab : Scanning de base et énumération
![Page 47: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/47.jpg)
04/05/2016
47
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Objectif
• Outils
• Pratiquez !
![Page 48: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/48.jpg)
04/05/2016
48
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Outils Scanning Proxy & Nessus
Reconnaissance
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 49: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/49.jpg)
04/05/2016
49
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• Lab : Outils Scanning Proxy & Nessus
![Page 50: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/50.jpg)
04/05/2016
50
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Outils scanning proxy
• Puissance
• Live
• Fuzzing
• Bonnes pratiques
• Scanning avancé ?
• Nessus
• Bases de données
![Page 51: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/51.jpg)
04/05/2016
51
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Lab : Outils Scanning Proxy & Nessus
![Page 52: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/52.jpg)
04/05/2016
52
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Outils
• Pratiquez !
![Page 53: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/53.jpg)
04/05/2016
53
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction
Exploitation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 54: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/54.jpg)
04/05/2016
54
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
•Organisation
![Page 55: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/55.jpg)
04/05/2016
55
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Découverte des différentes vulnérabilités + Exploitation
• Mise en situation réelle
• Favorisez la pratique
• Scanning = Automatisé & pas sûr ( faux positif)
• A la main = Vérification + sûr
• PS : pas toutes les vulnérabilités sont découvertes grâce aux scanners
• Exploitation faille par faille
• Niveau très avancé
• Balayage
![Page 56: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/56.jpg)
04/05/2016
56
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Organisation
Analyse & Compréhension
de la vulnérabilité
Scanning et vérification
Exploitation basique et avancée
![Page 57: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/57.jpg)
04/05/2016
57
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Introduction chapitre exploitation
•Structuration
![Page 58: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/58.jpg)
04/05/2016
58
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
RFI et LFI
Exploitation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 59: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/59.jpg)
04/05/2016
59
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Local File Inclusion
• Remote file inclusion
• LAB : RFI & LFI
![Page 60: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/60.jpg)
04/05/2016
60
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Local File Inclusion• Local File Inclusion � LFI
• Permet à un utilisateur d’injecter des fichiers locaux à partir d’une URL vulnérable
• Out de la racine
• Fichiers critiques
• Exemples :
• /etc/passwd
• /etc/shadow
• Injection de shell
![Page 61: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/61.jpg)
04/05/2016
61
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Remote file inclusion• Remote File Inclusion � RFI
• Type de vulnérabilité trouvée le plus souvent sur des sites web ( pas que )
• Inclure un fichier distant
• Principalement un shell
• Commande exécution
• XSS
• Dénis de service
• Manipulation de données � Shell
![Page 62: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/62.jpg)
04/05/2016
62
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : RFI & LFI
![Page 63: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/63.jpg)
04/05/2016
63
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• LFI
• RFI
• Exploitation basique & avancé
![Page 64: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/64.jpg)
04/05/2016
64
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Faille Upload
Exploitation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 65: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/65.jpg)
04/05/2016
65
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
•Lab : Faille Upload
![Page 66: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/66.jpg)
04/05/2016
66
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Une des failles les plus dangereuses
• La balise upload permet d'uploader n'importe quel fichier
• Upload de fichier malicieux
• Exemples : shell (c99, r57, shell customisé etc…)
• Filtres ? � Bypassable
• Plusieurs techniques :
• Bypassing extension
• Content-type
• Etc…
![Page 67: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/67.jpg)
04/05/2016
67
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Lab : Faille Upload
![Page 68: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/68.jpg)
04/05/2016
68
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
•Faille upload
•Multiple manipulation
![Page 69: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/69.jpg)
04/05/2016
69
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Cross Site Scripting
Exploitation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 70: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/70.jpg)
04/05/2016
70
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan• Introduction
• Reflected XSS
• Persistent XSS
• DOM XSS
• Self-XSS
• BeeF
• Architecture BeeF
• XSS Chef
• Lab : XSS
![Page 71: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/71.jpg)
04/05/2016
71
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Cross Site Scripting � XSS
• Injecter du contenu dans une page
• Javascript
• Simple ? Pas intéressant ? � La réponse est non
• La brise qui cache la tempête
• Redirection, exécution, frame, Vol d'informations
exploitations avancées etc…
![Page 72: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/72.jpg)
04/05/2016
72
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Reflected XSS• Une XSS non persistente
• Très présent
• Input non vérifié
• Injection de code
• Manipulation de données
• Ingénierie sociale
![Page 73: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/73.jpg)
04/05/2016
73
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Persistent XSS • Persistante
• Danger !
• Attaques puissantes
• Bases de données, fichiers…
• Exemple : Forums
![Page 74: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/74.jpg)
04/05/2016
74
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
DOM XSS• Assez ancien
• Client-Side
• Pas d’encodage
• Zone Local
• Droit navigateur ou autre � +++
• Bypass Sandbox
![Page 75: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/75.jpg)
04/05/2016
75
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Self-XSS• Arnaque de script
• Site to Site
• Piège afin que vous donniez accès à votre compte
Facebook par exemple
• Publication, manipulation données etc…
• Incitation à exécuter un code malveillant permettant d’accéder à un compte pour frauder, étendre le réseau du pirate etc…
![Page 76: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/76.jpg)
04/05/2016
76
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
BeeF• The Browser Exploitation Framework ( http://beefproject.com/ )
• Framework
• Puissant et facile d’utilisation
• Extensions
• Metasploit
• Client-side
• drive-by malware
• Accède directement à l’environnement du client
• Social Engineering
![Page 77: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/77.jpg)
04/05/2016
77
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Architecture BeeF
![Page 78: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/78.jpg)
04/05/2016
78
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Architecture BeeF
![Page 79: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/79.jpg)
04/05/2016
79
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
XSS Chef : Allez plus loin …• Script écrit en PHP/Javascript (développé à partir de BeEF)
• Permettre de faire du pentesting sur des extensions Chrome
• Failles XSS.
• Serveur web avec PHP installé en local
• Faciliter l’exploitation
![Page 80: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/80.jpg)
04/05/2016
80
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Lab : XSS
![Page 81: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/81.jpg)
04/05/2016
81
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Exploitation
• Analyse
• Exploitation avancée
• Proxy XSS
• Enjoy ☺
![Page 82: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/82.jpg)
04/05/2016
82
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Cross Site RequestForgery
Exploitation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 83: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/83.jpg)
04/05/2016
83
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• Illustration
• LAB : CSRF
![Page 84: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/84.jpg)
04/05/2016
84
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Cross-Site Request Forgery � CSRF
• Vulnérabilité des services d'authentification web
• Transmettre à un utilisateur authentifié une requête HTTP malveillante
• Action interne
• Pas de conscience et en utilisant ses propres droits.
• L'attaque étant actionnée par l'utilisateur, un grand nombre de systèmes d'authentification sont contournés.
![Page 85: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/85.jpg)
04/05/2016
85
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 86: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/86.jpg)
04/05/2016
86
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : CSRF
![Page 87: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/87.jpg)
04/05/2016
87
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• CSRF
• Exploitation basique
• Exploitation avancée
![Page 88: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/88.jpg)
04/05/2016
88
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Injection SQL
Exploitation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 89: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/89.jpg)
04/05/2016
89
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• Illustration
• Injection SQL
• Exploitation
• LAB : Sql Injection
![Page 90: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/90.jpg)
04/05/2016
90
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Il s’agit de la vulnérabilité des applications Web la plus répandue sur
Internet
• La faille concerne les applications et non pas les bases de données
• L’injection SQL est une technique utilisée pour exploiter la vulnérabilité d’absence de validation des données entrées pour envoyer des commandes SQL à des bases de données
• Problématique : absence de distinction entre le plan de contrôle et le plan de données dans SQL
• Sans un contrôle strict sur la syntaxe SQL dans les données entrées par l’utilisateur, la requête SQL générée peut faire en sorte que ces données soient interprétées en tant qu’instruction SQL au lieu de données ordinaires
![Page 91: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/91.jpg)
04/05/2016
91
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 92: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/92.jpg)
04/05/2016
92
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Injection SQL • Le code suivant construit et exécute dynamiquement une requête SQL
qui cherche les éléments correspondants à un nom spécifique.
• La requête restreint les éléments affichés à ceux dont le propriétaire correspond au nom d'utilisateur de celui actuellement authentifié :
• La requête que ce code a exécute est la suivante :
![Page 93: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/93.jpg)
04/05/2016
93
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Injection SQL • Cependant, parce que la requête est construite dynamiquement par la concaténation
d'une chaîne de requête de base constante et une chaîne entrée par l'utilisateur, la requête ne se comporte correctement que si itemName ne contient pas d’apostrophe. Si un attaquant avec le nom d'utilisateur Wiley entre la chaîne:
• pour itemName, la requête devient comme suit :
• L’addition de OR 'a'='a’ engendre que le résultat retourné par WHERE est toujours Vrai. La requête devient tout simplement SELECT * FROM items;
• Cette simplification de la requête permet à l'attaquant de contourner l'exigence que la requête ne renvoie que des articles appartenant à l'utilisateur authentifié; la requête renvoie désormais toutes les entrées stockées dans la table des éléments, indépendamment de leur propriétaire spécifié.
![Page 94: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/94.jpg)
04/05/2016
94
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Exploitation• Error Based
• Blind Sql injection
• SQLmap
• Detection ( Vega, Burpsuite etc…)
![Page 95: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/95.jpg)
04/05/2016
95
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : Injection SQL
![Page 96: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/96.jpg)
04/05/2016
96
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Injection SQL
• Bases
• Exploitation basique
• Exploitation avancée
• Exploitation main nue
• Exploitation d’outils automatisés
![Page 97: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/97.jpg)
04/05/2016
97
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Click Jacking
Exploitation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 98: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/98.jpg)
04/05/2016
98
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• Illustration
• LAB : Click Jacking
![Page 99: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/99.jpg)
04/05/2016
99
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Technique malveillante visant à pousser un internaute à fournir des informations
confidentielles
• Prendre le contrôle de son ordinateur
• Pousser à cliquer sur des liens piégés
• Utiliser le clic de votre souris à d’autres fins, potentiellement malveillantes.
• Redirection
• Phishing
• Frames
• Techniques ? � Clickjacking +Cursorjacking +Likejacking
![Page 100: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/100.jpg)
04/05/2016
100
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 101: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/101.jpg)
04/05/2016
101
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : Clickjacking
![Page 102: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/102.jpg)
04/05/2016
102
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Clickjacking
• Bases
• Exploitation réel
• Cursorjacking
![Page 103: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/103.jpg)
04/05/2016
103
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Injection HTML
Exploitation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 104: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/104.jpg)
04/05/2016
104
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• LAB : Injection HTML
![Page 105: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/105.jpg)
04/05/2016
105
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Les attaques de type injection HTML consistent à envoyer une chaîne
contenant un code HTML malveillant
• Plusieurs possibilités
• Assez ancienne
• Front end � HTML Injection/XSS ( Client Side)
• Back end � SQL Injection (Server Side)
![Page 106: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/106.jpg)
04/05/2016
106
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : Injection HTML
![Page 107: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/107.jpg)
04/05/2016
107
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Injection HTML
![Page 108: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/108.jpg)
04/05/2016
108
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Injection de Commandes
Exploitation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 109: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/109.jpg)
04/05/2016
109
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• LAB : Injection de commandes
![Page 110: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/110.jpg)
04/05/2016
110
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Script
• Exécution de commandes
• Shell
• Never trust user inputs
• Plusieurs commendes
• Bypassement de filtres
• EscapeShellArg
• EscapeShellCmd
![Page 111: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/111.jpg)
04/05/2016
111
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : Injection de commandes
![Page 112: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/112.jpg)
04/05/2016
112
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Injection commandes
• Pas aussi simple
![Page 113: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/113.jpg)
04/05/2016
113
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Server-Side
Exploitation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 114: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/114.jpg)
04/05/2016
114
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• LAB : Server-Side
![Page 115: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/115.jpg)
04/05/2016
115
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Infrastructure
• Application Web � Tourne sur un serveur
• Services
• Vulnérabilités
• Sécurisation ? Nécessaire !
• Dénis de service
• Metasploitable2
![Page 116: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/116.jpg)
04/05/2016
116
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : Server-Side
![Page 117: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/117.jpg)
04/05/2016
117
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
•Exploitation Server Side
![Page 118: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/118.jpg)
04/05/2016
118
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction
Client Side
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 119: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/119.jpg)
04/05/2016
119
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
![Page 120: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/120.jpg)
04/05/2016
120
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Une porte dorée
• Point à étudier
• Navigateur
• Applet
• Script malveillant
• Sécurisation des transmissions
• Cookie
• MITM
• Protocoles sécurisés ? � Attaque sur l’authentification
![Page 121: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/121.jpg)
04/05/2016
121
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Introduction chapitre attaques client side
![Page 122: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/122.jpg)
04/05/2016
122
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Exploitation
Client Side
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 123: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/123.jpg)
04/05/2016
123
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• LAB : Exploitation Client Side
![Page 124: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/124.jpg)
04/05/2016
124
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Point à ne pas négliger
• Plusieurs exploitations
• Web backdoor
• Scripts
• Navigateurs
• Metasploit
• BeEf
![Page 125: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/125.jpg)
04/05/2016
125
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : Exploitation Client Side
![Page 126: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/126.jpg)
04/05/2016
126
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Exploitation Client Side
• Bases
• Manipulation
• What else ? � SE
![Page 127: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/127.jpg)
04/05/2016
127
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Man In The Middle
Client Side
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 128: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/128.jpg)
04/05/2016
128
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• Illustration
• LAB : MiTM
![Page 129: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/129.jpg)
04/05/2016
129
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• L’homme au milieu
• Attaque la plus répondue en entreprise
• Chaotique
• Plusieurs exploitations
• Manipulation TOTALE !
• Qu’en est il des protocoles sécurisés ?
• À découvrir lors du chapitre sur l’attaque au niveau de l’authentification
• Compréhension � LA BASE !
![Page 130: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/130.jpg)
04/05/2016
130
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 131: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/131.jpg)
04/05/2016
131
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : MiTM
![Page 132: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/132.jpg)
04/05/2016
132
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Exploitation
• Compréhension
• « Vol comme un papillon , pique comme une abeille »
![Page 133: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/133.jpg)
04/05/2016
133
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Social Engineering
Client Side
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 134: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/134.jpg)
04/05/2016
134
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• SET
• Autres techniques
• LAB : Social Engenering
![Page 135: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/135.jpg)
04/05/2016
135
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• L'ingénierie sociale
• Forme d'acquisition déloyale d'information
• Escroquerie
• Cette pratique exploite les failles humaines
• Utilisant ses connaissances, son charisme, l'imposture ou le culot, l'attaquant abuse de la confiance, de l'ignorance ou de la crédulité des personnes possédant ce qu'il tente d'obtenir.
![Page 136: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/136.jpg)
04/05/2016
136
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
SET
• SET (Social Engineering Toolkit)
• Un outil écrit en python qui propose
• Diverses méthodes d'exploitation en utilisant l'ingénierie sociale
• Modules utilisant Metasploit
• Automatisation
• Combinaison
![Page 137: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/137.jpg)
04/05/2016
137
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Autres techniques • Tabnabing
• Manipulation
• Confiance
• Peur
• Vous ne verrais jamais plus le web de la même manière …
![Page 138: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/138.jpg)
04/05/2016
138
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : Social Engineering
![Page 139: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/139.jpg)
04/05/2016
139
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
•Social Engineering
•Exploitation
![Page 140: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/140.jpg)
04/05/2016
140
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction
Attaque sur l'authentification
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 141: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/141.jpg)
04/05/2016
141
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
![Page 142: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/142.jpg)
04/05/2016
142
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Authentification
• Plusieurs facteurs
• Single Point Of Failure
• 3DS SECURE
• Authentification multi facteurs � ++
• Reste vulnérable
• Protocoles sécurisés
• Web Application Firewall ? � On en parlera lors des contremesures
![Page 143: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/143.jpg)
04/05/2016
143
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Introduction chapitre attaque sur l’authentification
![Page 144: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/144.jpg)
04/05/2016
144
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Session Hijacking
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Attaque sur l'authentification
![Page 145: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/145.jpg)
04/05/2016
145
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• Illustration
• Wireshark
• LAB : Session Hijacking
![Page 146: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/146.jpg)
04/05/2016
146
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Orienté MiTM
• Hijacking de sessions
• Paquets transitent vers le Hacker
• Gestion de transition
• Modification de paquets
• Cookie
• Exploitation de session
![Page 147: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/147.jpg)
04/05/2016
147
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 148: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/148.jpg)
04/05/2016
148
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Wireshark• Wireshark est un analyseur de paquets libre
• Utilisé dans :
� Le dépannage et l'analyse de réseaux informatiques
� Le développement de protocoles
� L'éducation et la rétro-ingénierie.
• Son appellation d'origine � Ethereal
• Wireshark reconnaît 1 515 protocoles ☺
![Page 149: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/149.jpg)
04/05/2016
149
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : Session Hijacking
![Page 150: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/150.jpg)
04/05/2016
150
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Wireshark
• Théorie
• Pratique
![Page 151: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/151.jpg)
04/05/2016
151
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Brute Force
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Attaque sur l'authentification
![Page 152: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/152.jpg)
04/05/2016
152
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• LAB : Brute Force
![Page 153: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/153.jpg)
04/05/2016
153
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Marche à 100 %
• Tester toutes les combinaisons possibles
• Dictionnaires
• Outils automatisés
• Script
• Evasion
• Protection � Bypassable
• Contre l’authentification … mais pas que !
• Protection ? � Contremesures ;)
![Page 154: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/154.jpg)
04/05/2016
154
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : Brute Force
![Page 155: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/155.jpg)
04/05/2016
155
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
•Brute Force
![Page 156: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/156.jpg)
04/05/2016
156
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Attaque sur les protocoles sécurisés
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Attaque sur l'authentification
![Page 157: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/157.jpg)
04/05/2016
157
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• LAB :Attaque sur les protocoles sécurisés
![Page 158: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/158.jpg)
04/05/2016
158
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Protocoles sécurisés
• HTTPS et compagnie
• Sécurisé ?
• Je ne croit pas ☺
• Analyse
• Exploitation
• Man in The Middle EVERYWHERE !
• SSLSTRIP SSLSCAN SSLYZE
• Erreur certificat
• A VOS MACHINES !!!
![Page 159: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/159.jpg)
04/05/2016
159
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : Attaque sur les protocoles sécurisés
![Page 160: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/160.jpg)
04/05/2016
160
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Analyse
• Attaque
• MiTM
• SSLSTRIP
![Page 161: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/161.jpg)
04/05/2016
161
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction
CMS
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 162: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/162.jpg)
04/05/2016
162
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• Illustration
• LAB : Introduction aux CMS
![Page 163: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/163.jpg)
04/05/2016
163
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• CMS - Système de gestion de contenu
• Ils permettent à plusieurs individus de travailler sur un même document ;
• Ils fournissent une chaîne de publication offrant par exemple la possibilité de mettre en ligne le contenu des documents ;
• Ils permettent de séparer les opérations de gestion de la forme et du contenu ;
• Ils permettent de structurer le contenu (utilisation de FAQ, de documents, de blogs, de forums etc.) ;
• Ils permettent de hiérarchiser les utilisateurs et de leur attribuer des rôles et des permissions (utilisateur anonyme, administrateur, contributeur, etc.) ;
• Utilisation exponentiel
![Page 164: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/164.jpg)
04/05/2016
164
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 165: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/165.jpg)
04/05/2016
165
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 166: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/166.jpg)
04/05/2016
166
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : CMS
![Page 167: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/167.jpg)
04/05/2016
167
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• CMS
• Découverte
• Mise en situation
![Page 168: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/168.jpg)
04/05/2016
168
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Attaques sur les CMS
CMS
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 169: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/169.jpg)
04/05/2016
169
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• LAB : Hacking CMS
![Page 170: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/170.jpg)
04/05/2016
170
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Plusieurs vecteurs d’attaques
• Joomscan
• Wpscan
• Plugins
• Themes
• Phishing
• Sql injection
• Exploit
• XSS
![Page 171: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/171.jpg)
04/05/2016
171
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : Hacking CMS
![Page 172: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/172.jpg)
04/05/2016
172
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert• Analyse
• Scan
• Exploitation
• Différents CMS
![Page 173: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/173.jpg)
04/05/2016
173
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Sécurisation CMS
CMS
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 174: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/174.jpg)
04/05/2016
174
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• LAB : Sécurisation CMS
![Page 175: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/175.jpg)
04/05/2016
175
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Sécurité � Veille & Sensibilisation
• Plugins
• Politique
• Backup
• On va pouvoir découvrir tout ça
• A vos machines !
![Page 176: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/176.jpg)
04/05/2016
176
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : Sécurisation CMS
![Page 177: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/177.jpg)
04/05/2016
177
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Sécurisation CMS
![Page 178: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/178.jpg)
04/05/2016
178
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Contremesures
Contremesures et reporting
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 179: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/179.jpg)
04/05/2016
179
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
•CSRF
•XSS
•SQL Injection
• Lab : WAF & SIEM
![Page 180: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/180.jpg)
04/05/2016
180
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Contre mesures
• Vulnérabilités les plus répondu
• Sécurité lors de la conception
• Système SDLC
• Web Application Firewall
• SIEM
• Secure Coding � Un module arrive ☺
![Page 181: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/181.jpg)
04/05/2016
181
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
CSRF• Utilisation Token « Aléatoire »
• Challenge
• Associé à une session
• Par session/requete
![Page 182: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/182.jpg)
04/05/2016
182
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
XSS• Validation Input Utilisateurs
• Encoder les output
• Désactivation Client Side Scripts
![Page 183: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/183.jpg)
04/05/2016
183
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
SQL Injection• Analyse statique
• Modélisation des attaques
• Analyse l’architecture du système du point de vue de l’attaquant pour mieux voir les pistes d’attaques [possibilité d’utilisation du CAPEC : Common Attack Pattern Enumeration and Classification] (http://capec.mitre.org)
• Diffère des tests de pénétration du fait qu’elle n’effectue pas l’attaque mais plutôt analyse l’aspect conceptuel pour anticiper les failles
• Analyse du code source
• Analyse de la qualité dans l’objectif d’optimisation
• Analyse des faiblesses du code source : spécifique aux failles de sécurité pouvant êtres détectées à partir du code source
• Analyse dynamique : évaluation du programme en cours d’exécution (l’objectif est de voir comment le programme réagira vis-à-vis de situations anormales
• Test de données aléatoires (fuzzing)
• Tests de stress, Tests d’erreurs…
![Page 184: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/184.jpg)
04/05/2016
184
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Lab : WAF & SIEM
![Page 185: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/185.jpg)
04/05/2016
185
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
•Contremesures
•WAF
•SIEM
![Page 186: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/186.jpg)
04/05/2016
186
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Reporting
Contremesures et reporting
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 187: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/187.jpg)
04/05/2016
187
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan
• Introduction
• Illustration
• LAB : Reporting
![Page 188: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/188.jpg)
04/05/2016
188
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Introduction• Rapport
• Closes
• Agreement
• Coté légal
• Point de départ
• Grammaire !
• PCI
• Cobilt / itil
![Page 189: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/189.jpg)
04/05/2016
189
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 190: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/190.jpg)
04/05/2016
190
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 191: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/191.jpg)
04/05/2016
191
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 192: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/192.jpg)
04/05/2016
192
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 193: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/193.jpg)
04/05/2016
193
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 194: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/194.jpg)
04/05/2016
194
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 195: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/195.jpg)
04/05/2016
195
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Illustration
![Page 196: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/196.jpg)
04/05/2016
196
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
LAB : Reporting
![Page 197: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/197.jpg)
04/05/2016
197
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Ce qu’on a couvert
• Reporting
• Enjoy ☺
![Page 198: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/198.jpg)
04/05/2016
198
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Conclusion et Perspectives
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
![Page 199: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/199.jpg)
04/05/2016
199
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Présentation du formateurKondah Hamza• [email protected]
• Consultant & Chercheur Sécurité informatique
• Microsoft MVP en sécurité des entreprises
• Conférencier
• Mes références :
� Mon profil LinkedIn : https://ma.linkedin.com/in/kondah
� Mon profil Microsoft MVP : https://mvp.microsoft.com/en-us/PublicProfile/5000286?fullName=Kondah Hamza
� Mon Site Web : http://www.kondah.com
� Profil Alphorm : http://www.alphorm.com/formateur/hamza-kondah
![Page 200: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/200.jpg)
04/05/2016
200
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Hacking & Sécurité
Réseaux sans fils
Reconnaissance & Scanning
Vulnérabilités web
Vulnérabilités réseaux
Metasploit
Exploitation
Forensic
Mobile
Reporting
Mise en situation
Contre mesures
Reverse Engineering
Vulnérabilité applicatifs
![Page 201: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/201.jpg)
04/05/2016
201
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Plan de la formation• Introduction
• Reconnaissance
• Exploitation
• Client Side
• Authentification
• CMS
• Contremesures et reporting
• Conclusion et perspectives
![Page 202: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/202.jpg)
04/05/2016
202
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Perspectives
Perspectives
![Page 203: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/203.jpg)
04/05/2016
203
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
La Suite • Tester vos compétences ( rootme,NewbieContest,CTF etc…)
• D’autres modules en cours de préparations
• Veuille
• Pratique
![Page 204: Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web](https://reader036.vdocuments.pub/reader036/viewer/2022081722/5870f8881a28ab5f528b5291/html5/thumbnails/204.jpg)
04/05/2016
204
Formation Hacking & Sécurité, Expert – Vulnérabilités Web alphorm.com™©
Questions ? Remarques ? Critiques ?