Formation Hacking et sécurité des applications web

Formation Hacking et sécurité des applications web

Notée : (352)*

🔐 Plongez dans l’univers du hacking éthique, maîtrisez les failles courantes et renforcez la sécurité de vos applications grâce à cette formation hacking.

Prix (Formation inter-entreprise)

1900€ HT / personne

Durée

3 jours

Dates

Mars
3 Paris
Avril
7 À distance
Mai
21 À distance

Nous pouvons organiser des sessions à d'autres dates ou dans d'autres villes (Bordeaux, Lille, Lyon, Marseille, Montpellier, Nantes, Nice, Paris, Strasbourg, Toulouse...)

Cette formation Hacking et Sécurité des Applications Web vous permettra de comprendre et maîtriser les techniques utilisées par les hackers afin de tester et protéger vos systèmes.

Vous apprendrez à déceler les failles, à les exploiter et à les corriger pour renforcer la sécurité de vos applications.

Durant ces 3 jours, vous alternerez entre apprentissage théorique et ateliers pratiques pour utiliser des outils incontournables tels que Burp Suite, SQLmap. Vous découvrirez les failles les plus courantes (XSS, injections SQL, CSRF, etc.) et explorerez les meilleures pratiques en développement sécurisé.

Cette formation s’adresse aux développeur·euse·s (frontend, backend, full-stack) et administrateur·rice·s systèmes souhaitant se protéger efficacement des menaces actuelles.

Vous êtes intéressés par la sécurité des applications mobile ?

Alors, notre formation à la sécurité des applications mobile est faite pour vous !

Les objectifs

  • Adopter les bonnes pratiques de développement sécurisé pour prévenir les failles
  • Apprendre à détecter des vulnérabilités en inspectant le code et/ou en observant le comportement d’une application Web
  • Découvrir, configurer et utiliser des outils (Burp Suite, SQLmap, etc.) permettant d’analyser efficacement vos applications

Pré-requis

  • Expérience en programmation web (HTML, JavaScript, SQL).
  • Une familiarité avec le Document Object Model (DOM) est recommandée afin de profiter pleinement de la formation.
  • Droits suffisants pour installer et utiliser Burp Suite Community Edition.
  • Ordinateur portable à apporter

Le programme de la formation Hacking et sécurité des applications web

Jour 1 : Les bases de la sécurité et des vulnérabilités Web

  • Le paysage de l'insécurité Web
    • Architecture typique d'une application Web
    • Open Web Application Security Project (OWASP)
    • Le top des vulnérabilités selon OWASP
    • Common Weakness Enumerations (CWEs)
    • Common Vulnerabilities & Exposures (CVEs)
    • Common Vulnerability Scoring System (CVSSv3.1)
    • Adversaires externes et internes
    • Profils des adversaires
    • Les différentes étapes d'une attaque
    • Un tour d'horizon de l'arsenal des adversaires
  • La place de la sécurité dans le cycle de développement
    • L'importance de l'inventaire
    • Shadow IT
    • Biais envers la production au détriment de la sécurité
    • (In)compatibilité avec les approches dites "Agile" ?
    • Le mouvement DevSecOps
    • L'importance des tests
    • Revues de code
    • Analyse statique
    • Analyse dynamique
  • Aide externe pour la sécurité
    • Audits de sécurité
    • Programme de prime au bug (bug bounty)
    • Politique de divulgation responsable
    • Différents niveaux de divulgation
  • Le protocole HTTP
    • HyperText Transport Protocol : le protocol central du Web
    • Requêtes et réponses HTTP
    • Sémantique des différentes méthodes HTTP standard
    • Codes HTTP
    • HTTPS
    • Passage en revue des Dev Tools de Chrome
    • Introduction à l'outil Burp Suite
  • URLs
    • Anatomie d'une URL
    • Des disparités inquiétantes entre parseurs
    • Ignorez les subtilités du format URL à vos risques et périls !
    • Les failles de type open redirect
  • Exposition d'informations sensibles
    • Identifiants numériques séquentiels
    • Messages d'erreurs verbeux
    • Directory listing
    • Capture de données sensibles en clair par les logs
    • Secrets stockés côté client
    • Exposition excessive de données par les APIs
    • Dépôts publics de développeurs
    • Historique Git d'un projet open source contenant des secrets
    • Dossier .git accessible publiquement en ligne

Mises en pratique :
- Reconnaissance à l'aide de Google dorks
- Découverte de l'outil Shodan
- Analyse statique de code open source grâce avec CodeQL
- Etude de programmes de bug bounty sur la plateforme HackerOne
- Etude de politique de divulgation responsable
- Rejeu et injection de requêtes HTTP modifiées
- Contournement d'un contrôle de sécurité basé sur une expression régulière censée accepter seulement un ensemble précis d'URLs
- Découverte et exploitation d'open redirects
- Déductions intéressantes à propos d'un système qui utilise des identifiants numériques séquentiels
- Découverte d'informations sur l'implémentation d'un backend à partir de messages d'erreurs verbeux
- Reconnaissance en ligne de système ayant laissé le directory listing activé
- Découvertes de secrets stockés côté client grâce à Burp Suite
- Analyse d'une API exposant des données sensibles
- Découverte de secrets laissés sur des dépôts GitHub public
- Expédition archéologie dans l'historique de dépôts Git
- Découverte à l'aide de Google dorks de dossiers .git exposés au monde entier

Jour 2 : failles liées aux entrées utilisateur·rice

  • Validation des entrées utilisateur·rice
    • Pourquoi la méfiance reste de mise
    • Validation côté client ou côté serveur ?
    • Les failles de type mass assignment
    • Les failles de type HTTP parameter pollution
  • Cross-site scripting (XSS)
    • Le concept d’origine Web
    • La Same-Origin Policy
    • Exécution arbitraire de code JavaScript côté client
    • Différents contextes d'exécution : HTML, CSS, JavaScript
    • Les différentes formes de XSS
    • Encodage contextuel
    • Défense en profondeur avec une Content-Security Policy
  • Injection (No)SQL
    • Principe du moindre privilège
    • Injection SQL
    • L'outil sqlmap
    • Injection NoSQL
  • Server-side request forgery (SSRF)
    • Définition
    • Exploitation
    • Impact
    • Défenses
  • Autres formes d'injection
    • Qu'entend-t-on par "injection" ?
    • OS command injection
    • Code injection
  • Fichiers
    • Failles courantes liées aux fichiers
    • Chargement (upload)
    • Path traversal
    • Local-File Inclusion
    • Remote-File Inclusion

Mises en pratique :
- Élévation de privilège grâce à l'exploitation d'une faille de type mass assignment
- Etude de cas d'une faille de type HTTP parameter pollution
- Exploitation d'une faille XSS à travers trois points d'injection dans différents contextes
- Exploitation de failles XSS plus avancées
- Exploitation manuelle d'une faille d'injection SQL
- Exploitation automatique d'une faille d'injection SQL grâce à sqlmap
- Exploitation d'une faille de type SSRF
- Exploitation d'une faille de type OS command injection
- Exploitation d'une faille de type code injection
- Exploitation d'une faille liée au chargement
- Exploitation d'une faille de type path traversal
- Exploitation d'une faille de type LFI
- Exploitation d'une faille de type RFI

Jour 3 : failles liées à l’authentification, l’autorisation, et à la gestion des sessions

  • Authentification
    • Définition
    • Énumération d'utilisateur·rice
    • Rate limiting
    • Questions de sécurité
    • Authentication à facteurs multiples
  • Mots de passe
    • Brefs rappels de cryptographie
    • Politique de robustesse
    • Mots de passe ayant fuité, haveibeenpwned
    • Faciliter l'utilisation d'un gestionnaire de mots de passe
    • Stockage
    • Salage et hachage
    • Réinitialisation de mot de passe
  • Cookies
    • Les cookies en bref
    • L'attribut Domain
    • L'attribut HttpOnly
    • L'attribut Secure
    • Le concept technique de site
    • L'attribut SameSite
    • L'attribut Path
    • Préfixes de cookie
  • Cross-site request forgery (CSRF)
    • Définition
    • Exploitation
    • Impact
    • Défenses
  • Clickjacking (CSRF)
    • Définition
    • Exploitation
    • Impact
    • Défenses
  • Cross-Origin Resource Sharing (CORS)
    • Brefs rappels sur la Same-Origin Policy
    • Alternatives dépassées au CORS
    • Le protocol CORS
    • Mauvaises configurations du CORS
  • Autorisation / contrôle d'accès
    • Distinction entre authentification et autorisation
    • Rôles and permissions
    • Insecure direct object reference (IDOR)
    • Missing function-level access control

Mises en pratique :
- Énumération d'utilisateur·rice grâce à un message d'erreur trop révélateur
- Contournement d'une mesure de rate limiting
- Décodage d'un mot de passe simplement encodé
- Recherche inverse des résultats d'algorithmes de hachage faibles
- Craquage de valeurs de hachage grâce à l'outil John the Ripper
- Recherche sur de mots de passe ayant fuité sur haveibeenpwned et leakcheck
- Consultation de plaintextoffenders
- Étude de l'effet des différents attributs de cookie
- Exploitation d'une faille de type CSRF
- Exploitation d'une faille de type clickjacking
- Exploitation d'une faille de type IDOR
- Exfiltration de données rendue possible par une mauvaise configuration du CORS

Discussion ouverte

En fonction du temps restant, les stagiaires pourront exploiter d'autres failles sur les applications volontairement vulnérables mises à leur disposition.

Télécharger le programme

Le(s) formateur(s)

Julien CRETEL

Julien CRETEL

Julien est à la fois développeur, chercheur en sécurité Web et formateur.

Son langage de prédilection est le Go, sujet sur lequel il a formé des centaines de professionnel·le·s depuis 2019. Il lui arrive aussi d'intervenir sur Go à l'occasion de conférences spécialisées, telles que GopherCon 2023 Europe.

Julien est actif dans le domaine de la sécurité Web. En marge des tests de sécurité (tests d'intrusion, évaluation de vulnérabilité, audit de codes, etc.) que ses clients lui confient et de ses activités de recherche indépendante, Julien forme régulièrement des professionnel·le·s sur la sécurité Web. Il s'adonne aussi, de temps à autre, à la chasse au bogues de sécurité (bug bounty hunting).

Julien partage ses réflexions et sa recherche sur son blog, qui est, sans surprises, principalement dédié au langage Go et à la sécurité Web.

Voir son profil détaillé

Gwendal LE COGUIC

Gwendal LE COGUIC

Gwendal est un développeur de longue date, il a commencé la programmation web en 97 et maitrise bien les standards du milieu.

Détenteur de la certification OSCP, il s'est reconverti dans la sécurité il y a quelques années afin d'opérer en tant que bug bounty hunter. Depuis il a codé de nombreux outils liés à la sécurité en PHP, Go, Python et Bash disponibles sur son Github.

Aujourd'hui Gwendal a pour ambition de partager sa passion en aidant les entreprises mais aussi les indépendants à mieux protéger leurs systèmes.

Voir son profil détaillé

A propos de Human Coders

Human Coders c'est un centre de formation pour développeurs avec :

  • une certification Qualiopi, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
  • de nombreux clients qui nous font confiance depuis des années
  • un manifeste pour garantir des formations à taille humaine, des formateurs passionnés, de véritables workshops...
  • 153 formations au catalogue, 1629 sessions depuis nos débuts en 2012 avec une moyenne de satisfaction de 4,6/5
  • la possibilité de vous proposer un accompagnement personnalisé ou du conseil après la formation

93 témoignages

Super formation, avec un support très intéressant. Formateur au top, tant sur le plan technique que pédagogique. En tant qu'admin sys, j'aurai...

Super formation, avec un support très intéressant. Formateur au top, tant sur le plan technique que pédagogique. En tant qu'admin sys, j'aurais préféré avoir plus d'informations sur la sécurité côté serveur (mais j'étais seul, entouré de dev PHP !).

Voir plus

J'ai acquis de nouvelles compétences et des connaissances grâce au programme. J'ai eu la chance de comprendre le sujet d'une manière à la fois...

J'ai acquis de nouvelles compétences et des connaissances grâce au programme. J'ai eu la chance de comprendre le sujet d'une manière à la fois pratique et théorique. Le formateur s'est engagé à fond avec nous et nous a beaucoup aidés.

Voir plus

La formation était très intéressante et interactive, j'ai appris pas mal de choses qui vont sans doute m'aider à mieux coder en prenant en com...

La formation était très intéressante et interactive, j'ai appris pas mal de choses qui vont sans doute m'aider à mieux coder en prenant en compte l'aspect sécurité.

Voir plus

RAS, la session s'est bien déroulée. Julien est un bon formateur, merci.

RAS, la session s'est bien déroulée. Julien est un bon formateur, merci.

Le côté pratique est très appréciable.

Le côté pratique est très appréciable.

La formation était très interessante. Elle m'a permis d'en apprendre plus sur la sécurité.

La formation était très interessante. Elle m'a permis d'en apprendre plus sur la sécurité.

Formation très intéressante et complète, avec un formateur compétant et sympathique.

Formation très intéressante et complète, avec un formateur compétant et sympathique.

Julien est un excellent formateur, calme et posé, qui explique bien. Comme les autres formations que j'ai déjà suivies chez Human Coders, cet...

Julien est un excellent formateur, calme et posé, qui explique bien. Comme les autres formations que j'ai déjà suivies chez Human Coders, cette formation Sécurité est très bonne et j'ai acquis beaucoup de nouvelles connaissances, malgré mes lacunes dans les pré-requis.

Voir plus

Excellente formation : elle m'a ouvert les yeux sur tout les problèmes de sécurité et les solutions à apporter pour sécuriser au mieux nos app...

Excellente formation : elle m'a ouvert les yeux sur tout les problèmes de sécurité et les solutions à apporter pour sécuriser au mieux nos applications WEB. Je recommande vivement !

Voir plus

Top. Du théorique suivi d'exercices pour chaque point vu dans le formation, c'était très intéressant et pas ennuyeux !

Top. Du théorique suivi d'exercices pour chaque point vu dans le formation, c'était très intéressant et pas ennuyeux !

La formation, enrichissante et intense, pourrait peut-être être prolongée à 4 jours afin de consacrer plus de temps à la partie pratique. Cela...

La formation, enrichissante et intense, pourrait peut-être être prolongée à 4 jours afin de consacrer plus de temps à la partie pratique. Cela permettrait d'approfondir les concepts abordés, de mieux assimiler les compétences techniques et d'offrir davantage d'occasions pour mettre en pratique les notions théoriques.

Voir plus

Formation très instructive, avec un intervenant pédagogue et impliqué.

Formation très instructive, avec un intervenant pédagogue et impliqué.

Formation complète et dense en information. Très bien pour les bases en sécurité.

Formation complète et dense en information. Très bien pour les bases en sécurité.

J’ai appris beaucoup de failles de sécurité que je ne connaissais pas du tout, merci beaucoup!

J’ai appris beaucoup de failles de sécurité que je ne connaissais pas du tout, merci beaucoup!

Un contenu très robuste et varié sur la notion de la sécurité dans le contexte web

Un contenu très robuste et varié sur la notion de la sécurité dans le contexte web

Très bonne formation !

Très bonne formation !

Très intéressant et très bien mené

Très intéressant et très bien mené

Julien nous avait prévenu. La formation est très ludique. Et ça n'a pas manqué : on se prend au jeu en cherchant les failles d'une application...

Julien nous avait prévenu. La formation est très ludique. Et ça n'a pas manqué : on se prend au jeu en cherchant les failles d'une application vulnérable. Cette formation est un éveil à la sécurité web. J'ai pris de nombreuses notes sur des points à vérifier à mon retour en entreprise.

Voir plus

Super formation et super formateur, Julien a une vraie expérience qu'il partage avec plaisir. Ces retours d'expérience sont très instructifs ...

Super formation et super formateur, Julien a une vraie expérience qu'il partage avec plaisir. Ces retours d'expérience sont très instructifs et nous donne matière à réflexion sur les éléments à mettre en place.

Voir plus

Julien est un très bon formateur, pédagogue, qui connaît bien son sujet tout en restant humble. La formation était parfaitement organisée et l...

Julien est un très bon formateur, pédagogue, qui connaît bien son sujet tout en restant humble. La formation était parfaitement organisée et les pauses suffisamment régulières pour pouvoir conserver toute notre concentration. Qu'on ait déjà des bases en sécurité ou non, cette formation peut intéresser tout le monde. A recommander les yeux fermés.

Voir plus

Formation intéressante et dynamique

Formation intéressante et dynamique

Julien explique de façon très claire et pédagogue les principaux concepts et failles de sécurité des applications web. Dans un domaine où il e...

Julien explique de façon très claire et pédagogue les principaux concepts et failles de sécurité des applications web. Dans un domaine où il est difficile d'être exhaustif, surtout en 3 jours, il arrive à donner les clés pour qu'on puisse continuer l'exploration de façon autonome avec une bonne compréhension des bases. Les nombreux exercices pratiques aident à bien comprendre les mécanismes d'attaque et de défense.

Voir plus

La formation Hacking et sécurité des applications web était intéressante, car elle m'a permis de prendre conscience des différentes menaces et...

La formation Hacking et sécurité des applications web était intéressante, car elle m'a permis de prendre conscience des différentes menaces et comment s'en protéger.

Voir plus

c'est interssant

c'est interssant

Cette formation m'a permis de bien mieux comprendre certaines notions de sécurité que je ne connaissais que dans les grandes lignes. C'est éga...

Cette formation m'a permis de bien mieux comprendre certaines notions de sécurité que je ne connaissais que dans les grandes lignes. C'est également, la formation idéale si vous souhaitez connaître les menaces auxquelles vos site sont exposés et comment vous en protéger.

Voir plus

Formateur au top, les TPs sont peu trop simples et trop guidés. On pourrait imaginer une épreuve CTF en fin de formation pour laisser les sta...

Formateur au top, les TPs sont peu trop simples et trop guidés. On pourrait imaginer une épreuve CTF en fin de formation pour laisser les stagiaires rechercher et tenter d'appliquer ce qu'ils ont vu pendant la formation

Voir plus

Excellente formation, même en ayant quelques notions de sécurité, on apprend quand même beaucoup !

Excellente formation, même en ayant quelques notions de sécurité, on apprend quand même beaucoup !

Une formation qui aborde la sécurité du côté offensif pour être plus à même de déterminer les mesures à prendre du côté défensif. Très enrichi...

Une formation qui aborde la sécurité du côté offensif pour être plus à même de déterminer les mesures à prendre du côté défensif. Très enrichissant.

Voir plus

Formateur très agréable, à l'écoute et adaptatif en fonction des différents niveaux d'expérience des participants

Formateur très agréable, à l'écoute et adaptatif en fonction des différents niveaux d'expérience des participants

j'ai apprécié les différents points qui ont été vus

j'ai apprécié les différents points qui ont été vus

La formation est très intéressante et permet de mettre en pratique les choses que nous apprenons au fur et à mesure de la formation. Je la con...

La formation est très intéressante et permet de mettre en pratique les choses que nous apprenons au fur et à mesure de la formation. Je la conseillerai à n'importe qui voulant sécuriser son application web.

Voir plus

Travaux pratiques un peu rapide. Peut-être laisser un peu plus de temps, même si certains n'ose pas le demander.

Travaux pratiques un peu rapide. Peut-être laisser un peu plus de temps, même si certains n'ose pas le demander.

Formation complète et passionnante. Les exercices pratiques de hacking sont un vrai plus pour comprendre les failles web et s'en protéger. Je ...

Formation complète et passionnante. Les exercices pratiques de hacking sont un vrai plus pour comprendre les failles web et s'en protéger. Je recommande !

Voir plus

La formation aborde de nombreuses failles de sécurité applicative avec une bonne dose de pratique. Même si les 3 jours peuvent paraitre un peu...

La formation aborde de nombreuses failles de sécurité applicative avec une bonne dose de pratique. Même si les 3 jours peuvent paraitre un peu court, ils sont suffisants pour mesurer l'impact que les problèmes de sécurité peuvent avoir sur les systèmes d’informations et prendre les mesures adéquates.

Voir plus

Formation très enrichissante dispensée par un formateur avenant qui connait son sujet. Mais 3 jours sont insuffisants pour tout voir et bien é...

Formation très enrichissante dispensée par un formateur avenant qui connait son sujet. Mais 3 jours sont insuffisants pour tout voir et bien étudier en détails tous les headers http et leurs valeurs possibles.

Voir plus

Formation très intéressante, avec un super formateur.

Formation très intéressante, avec un super formateur.

C'était super, tout à fait adapté à nos besoins, bien rythmé entre théorie et pratique. C'était trois journées bien utiles.

C'était super, tout à fait adapté à nos besoins, bien rythmé entre théorie et pratique. C'était trois journées bien utiles.

Formation très dynamique, avec une approche intéressante (sans doute au vu du sujet qui est atypique).

Formation très dynamique, avec une approche intéressante (sans doute au vu du sujet qui est atypique).

Très bonne formation un peu plus de pratique et adaptation au profil aurait donner un 5/5

Très bonne formation un peu plus de pratique et adaptation au profil aurait donner un 5/5

Très bonne formation. Le contenu et les TP sont réussis. Le formateur prend le temps d'expliquer les différentes vulnérabilités.

Très bonne formation. Le contenu et les TP sont réussis. Le formateur prend le temps d'expliquer les différentes vulnérabilités.

Excellente formation, Gwendal est évidemment un expert dans son domaine mais aussi et surtout un passionné et son enthousiasme est communicati...

Excellente formation, Gwendal est évidemment un expert dans son domaine mais aussi et surtout un passionné et son enthousiasme est communicatif ! Un très bon moyen de faire un tour d'horizon des différentes menaces pour avoir en tête les protections à mettre en place dans son code.

Voir plus

Formation très interessante.

Formation très interessante.

Top formation avec Julien.

Top formation avec Julien.

Approche passionnée du formateur qui a grandement contribué à la qualité de la formation. J'ai appris beaucoup de choses en très peu de temps....

Approche passionnée du formateur qui a grandement contribué à la qualité de la formation. J'ai appris beaucoup de choses en très peu de temps. Merci.

Voir plus

top

top

Super formation

Super formation

En tant que RSSI, je n'étais pas étranger aux différentes techniques utilisées par les attaquants, mais je n'avais pas forcément eu l'occasion...

En tant que RSSI, je n'étais pas étranger aux différentes techniques utilisées par les attaquants, mais je n'avais pas forcément eu l'occasion de pratiquer concrètement ni d'avoir l'explication du fonctionnement des standards, de comment ils pouvaient être détournés et de comment les sécuriser, n'ayant pas d'expérience en développement Web. C'est maintenant chose faite.

Voir plus

Cool, un peu plus rapide sur les slides et encore plus d'exemples concrets m'aideraient.

Cool, un peu plus rapide sur les slides et encore plus d'exemples concrets m'aideraient.

C'est une belle expérience et l'ambiance générale est bien

C'est une belle expérience et l'ambiance générale est bien

La formation correspond bien au sommaire présenté en amont.

La formation correspond bien au sommaire présenté en amont.

Formation qui donne un panorama pertinent sur les questions de sécurité des applications web. Les exercices permettent de comprendre les diffé...

Formation qui donne un panorama pertinent sur les questions de sécurité des applications web. Les exercices permettent de comprendre les différents types de failles et leur impact. L'utilisation de quelques outils (logiciels, scripts, sites) permet également de baliser un catalogue qui, d'un premier abord, est beaucoup trop vaste (Kali tools par exemple). Equilibre entre théorie, pratique, illustrations...

Voir plus

Formation très intéressante !

Formation très intéressante !

Cette formation sur la sécurité des applications web a été pédagogique. J'ai eu le luxe d'être en très petit comité (2 formateurs et 2 partici...

Cette formation sur la sécurité des applications web a été pédagogique. J'ai eu le luxe d'être en très petit comité (2 formateurs et 2 participants) pendant 3 jours. L'interface bWAPP est très bien faite pour mettre en pratique l'exploitation de failles de sécurité et la théorie était bien expliquée.

Voir plus

Très bonne formation pour bien comprendre les mécaniques du hacking et de la sécurité des applications web. Le formateur est à l'écoute et le ...

Très bonne formation pour bien comprendre les mécaniques du hacking et de la sécurité des applications web. Le formateur est à l'écoute et le programme bien structuré. De nombreuses informations utiles pour améliorer la sécurité des applications

Voir plus

Très bonne formation pour entrer dans le sujet

Très bonne formation pour entrer dans le sujet

Un support de cours fourni en début de formation (pdf ou autre) permettrait de plus se concentrer sur l'écoute du cours et moins sur la prise ...

Un support de cours fourni en début de formation (pdf ou autre) permettrait de plus se concentrer sur l'écoute du cours et moins sur la prise de notes. Je pense particulièrement à la liste des outils et des sites d'information.

Voir plus

Cette formation contribue à améliorer notre culture générale sur la sécurité et va nous conduire à améliorer nos pratiques

Cette formation contribue à améliorer notre culture générale sur la sécurité et va nous conduire à améliorer nos pratiques

La formation est bien animé et comporte une alternance de partage d'expérience et de travail pratique, la diffusion d'un support sera un plus.

La formation est bien animé et comporte une alternance de partage d'expérience et de travail pratique, la diffusion d'un support sera un plus.

Formation parfaite ! Elle aurait été encore mieux en "physique", mais le contexte actuel ne le permettait pas. Un grand merci pour cette forma...

Formation parfaite ! Elle aurait été encore mieux en "physique", mais le contexte actuel ne le permettait pas. Un grand merci pour cette formation de qualité.

Voir plus

Cette formation m'a fait découvrir tout un pan de l'informatique dont je minimisais l'importance. L'approche par des travaux pratiques perme...

Cette formation m'a fait découvrir tout un pan de l'informatique dont je minimisais l'importance. L'approche par des travaux pratiques permet d'assimiler plus facilement les différents concepts et de mieux comprendre par la suite l'importance des bonnes pratiques et outils à utiliser afin de mieux se prémunir.

Voir plus

Très bonne formation !

Très bonne formation !

Très bien

Très bien

Très bien

Très bien

Formation très intéressante qui sensibilise vraiment aux failles du développement WEB.

Formation très intéressante qui sensibilise vraiment aux failles du développement WEB.

Formation très intéressante qui sensibilise bien à la sécurité. Souvent on met l'accent sur la sécurité sans pour autant donner d'explication...

Formation très intéressante qui sensibilise bien à la sécurité. Souvent on met l'accent sur la sécurité sans pour autant donner d'explications tangibles. Là, on comprend bien le risque et l'enjeu qui se joue. Elle nécessite des prérequis de connaissance importants. Très bonne pédagogie du formateur.

Voir plus

Les formations à distance sont plus compliquées à suivre :)

Les formations à distance sont plus compliquées à suivre :)

Formation trop simple par rapport à mes connaissances Formateur très agréable

Formation trop simple par rapport à mes connaissances Formateur très agréable

Contenu qualitatif, formateur très pédagogue et compétent.

Contenu qualitatif, formateur très pédagogue et compétent.

Fred est un bon orateur, on bon pédagogue et très certainement un bon professionnel. La formation était homogène et bien répartie. Les cas d'...

Fred est un bon orateur, on bon pédagogue et très certainement un bon professionnel. La formation était homogène et bien répartie. Les cas d'exemples concrets. Bravo

Voir plus

C'est une bonne formation, mais en fonction des connaissances qu'on a déjà les TP seront plus abordables pour certaines personnes. Il vaut mie...

C'est une bonne formation, mais en fonction des connaissances qu'on a déjà les TP seront plus abordables pour certaines personnes. Il vaut mieux avoir un petit niveau en développement sinon c'est la noyade assurée. Personnellement, j'ai trouvé la formation super interessante mais je réalise qu'il y a des domaines ou je n'avais pas les compétences nécessaires pour bien assimiler certaines choses.

Voir plus

Formation très instructive, voir la sécurité de façon offensive est une expérience enrichissante !

Formation très instructive, voir la sécurité de façon offensive est une expérience enrichissante !

Super formation, et super formateur :) Malgré le contexte qui a transformé notre formation présentielle en full distance, j'ai vraiment été p...

Super formation, et super formateur :) Malgré le contexte qui a transformé notre formation présentielle en full distance, j'ai vraiment été plongé dans le contenu et les TP de la formation. Retour d'xp très intéressants aussi.

Voir plus

Bonne formation pour y voir un peu plus clair dans l'univers des failles de sécurités.

Bonne formation pour y voir un peu plus clair dans l'univers des failles de sécurités.

J'ai suivi cette formation en n'ayant que de très minces connaissances en sécurité et je l'ai trouvée claire et très accessible.

J'ai suivi cette formation en n'ayant que de très minces connaissances en sécurité et je l'ai trouvée claire et très accessible.

Même si elle s'est globalement bien passée, je pense que la formation à distance doit être frustrante pour le formateur.

Même si elle s'est globalement bien passée, je pense que la formation à distance doit être frustrante pour le formateur.

Très bon panorama de l'environnement de la sécurité des applications, bonnes introduction aux méthodologies, ponctuée s de travaux pratiques. ...

Très bon panorama de l'environnement de la sécurité des applications, bonnes introduction aux méthodologies, ponctuée s de travaux pratiques. Je recommande !

Voir plus

Formateur passionné et pédagogue. Merci beaucoup!

Formateur passionné et pédagogue. Merci beaucoup!

Bonne formation, avec des exercices pratiques et des exemples pour illustrer la théories

Bonne formation, avec des exercices pratiques et des exemples pour illustrer la théories

Un formateur excellent sur un sujet passionnant. Beaucoup d'expertise. Contenu riche. Je recommande vivement.

Un formateur excellent sur un sujet passionnant. Beaucoup d'expertise. Contenu riche. Je recommande vivement.

Excellente formation et formateur. Contenu pertinent et à la pointe, bien orienté développeurs et développements. Echanges réguliers durant la...

Excellente formation et formateur. Contenu pertinent et à la pointe, bien orienté développeurs et développements. Echanges réguliers durant la formation sur des REX pertinents. Théorie et pratique parfaitement en adéquation avec les problématiques du marché d'aujourd'hui.

Voir plus

J'ai appris énormément sur le sujet lors de cette formation. De nombreuses découvertes sur les vulnérabilités du web et cela à tout niveau (du...

J'ai appris énormément sur le sujet lors de cette formation. De nombreuses découvertes sur les vulnérabilités du web et cela à tout niveau (du développement aux choix d'architectures...).

Voir plus

Une formation enrichissante et nécessitant une base de compétence de développement pour les travaux pratiques. Du coup je pense que mon profi...

Une formation enrichissante et nécessitant une base de compétence de développement pour les travaux pratiques. Du coup je pense que mon profil n'était pas adéquat pour comprendre certaines parties de la formation.

Voir plus

Très interessant de se mettre à la place de l'attaquant afin d'en comprendre la méthodologie et les techniques utilisées.

Très interessant de se mettre à la place de l'attaquant afin d'en comprendre la méthodologie et les techniques utilisées.

Merci pour cette formation de sensibilisation à la sécurité

Merci pour cette formation de sensibilisation à la sécurité

La formation est très instructive et apporte beaucoup de clés, pour introduire à une démarche de développeur des éléments de réflexion autour ...

La formation est très instructive et apporte beaucoup de clés, pour introduire à une démarche de développeur des éléments de réflexion autour de la sécurité. J'ai été très intéressé par les sujets sur Agile + Sécurité (SCRUM SDLC, etc.)

Voir plus

Super formation ! Un intervenant très compétent et des connaissances utiles et surtout nécessaires aujourd'hui

Super formation ! Un intervenant très compétent et des connaissances utiles et surtout nécessaires aujourd'hui

Bonne formation.

Bonne formation.

sauf quelques probs téchniques (liés aux machines utilisées, pas à la formation), très bonne formation... intéressante, simple a suivre et bie...

sauf quelques probs téchniques (liés aux machines utilisées, pas à la formation), très bonne formation... intéressante, simple a suivre et bien plannifié niveau pratique pour suivre les concepts

Voir plus

très interessant

très interessant

Formation très intéressante. Travaux pratiques très enrichissants.

Formation très intéressante. Travaux pratiques très enrichissants.

Cette formation permet de vraiment se sensibiliser sur les pratiques des hackers afin de comprendre comment ces derniers peuvent repérer les f...

Cette formation permet de vraiment se sensibiliser sur les pratiques des hackers afin de comprendre comment ces derniers peuvent repérer les failles de nos applications. Très instructif !

Voir plus

Cette formation a été à la hauteur de nos attentes. Fred André est à l'écoute de son public. C'est un très bon professionnel qui nous a donné...

Cette formation a été à la hauteur de nos attentes. Fred André est à l'écoute de son public. C'est un très bon professionnel qui nous a donné de nombreuses pistes d'amélioration pour nos développements actuels et futurs.

Voir plus

C'était très bien, rien d'autre à ajouter.

C'était très bien, rien d'autre à ajouter.

Besoin d'aide ?

Vous souhaitez discuter avec nous à propos de votre projet de formation ?
Vous voulez plus d'information sur une formation ou notre fonctionnement ?


Rappel Email

Nos forces

  • Des formations à taille humaine
  • Des formateurs passionnés
  • Des véritables workshop
Accéder au Manifeste

Nos clients

Alcatel Submarine Networks
Deezer
Société Générale (GBSU/HUM)
Orange
Wemind
Ministère de la Justice

Formation Hacking et sécurité des applications web

Notée : (352)*

🔐 Plongez dans l’univers du hacking éthique, maîtrisez les failles courantes et renforcez la sécurité de vos applications grâce à cette formation hacking.

Formation Hacking et sécurité des applications web

Cette formation Hacking et Sécurité des Applications Web vous permettra de comprendre et maîtriser les techniques utilisées par les hackers afin de tester et protéger vos systèmes.

Vous apprendrez à déceler les failles, à les exploiter et à les corriger pour renforcer la sécurité de vos applications.

Durant ces 3 jours, vous alternerez entre apprentissage théorique et ateliers pratiques pour utiliser des outils incontournables tels que Burp Suite, SQLmap. Vous découvrirez les failles les plus courantes (XSS, injections SQL, CSRF, etc.) et explorerez les meilleures pratiques en développement sécurisé.

Cette formation s’adresse aux développeur·euse·s (frontend, backend, full-stack) et administrateur·rice·s systèmes souhaitant se protéger efficacement des menaces actuelles.

Vous êtes intéressés par la sécurité des applications mobile ?

Alors, notre formation à la sécurité des applications mobile est faite pour vous !

Les objectifs

  • Adopter les bonnes pratiques de développement sécurisé pour prévenir les failles
  • Apprendre à détecter des vulnérabilités en inspectant le code et/ou en observant le comportement d’une application Web
  • Découvrir, configurer et utiliser des outils (Burp Suite, SQLmap, etc.) permettant d’analyser efficacement vos applications

Pré-requis

  • Expérience en programmation web (HTML, JavaScript, SQL).
  • Une familiarité avec le Document Object Model (DOM) est recommandée afin de profiter pleinement de la formation.
  • Droits suffisants pour installer et utiliser Burp Suite Community Edition.
  • Ordinateur portable à apporter

Le programme de la formation Hacking et sécurité des applications web

Jour 1 : Les bases de la sécurité et des vulnérabilités Web

  • Le paysage de l'insécurité Web
    • Architecture typique d'une application Web
    • Open Web Application Security Project (OWASP)
    • Le top des vulnérabilités selon OWASP
    • Common Weakness Enumerations (CWEs)
    • Common Vulnerabilities & Exposures (CVEs)
    • Common Vulnerability Scoring System (CVSSv3.1)
    • Adversaires externes et internes
    • Profils des adversaires
    • Les différentes étapes d'une attaque
    • Un tour d'horizon de l'arsenal des adversaires
  • La place de la sécurité dans le cycle de développement
    • L'importance de l'inventaire
    • Shadow IT
    • Biais envers la production au détriment de la sécurité
    • (In)compatibilité avec les approches dites "Agile" ?
    • Le mouvement DevSecOps
    • L'importance des tests
    • Revues de code
    • Analyse statique
    • Analyse dynamique
  • Aide externe pour la sécurité
    • Audits de sécurité
    • Programme de prime au bug (bug bounty)
    • Politique de divulgation responsable
    • Différents niveaux de divulgation
  • Le protocole HTTP
    • HyperText Transport Protocol : le protocol central du Web
    • Requêtes et réponses HTTP
    • Sémantique des différentes méthodes HTTP standard
    • Codes HTTP
    • HTTPS
    • Passage en revue des Dev Tools de Chrome
    • Introduction à l'outil Burp Suite
  • URLs
    • Anatomie d'une URL
    • Des disparités inquiétantes entre parseurs
    • Ignorez les subtilités du format URL à vos risques et périls !
    • Les failles de type open redirect
  • Exposition d'informations sensibles
    • Identifiants numériques séquentiels
    • Messages d'erreurs verbeux
    • Directory listing
    • Capture de données sensibles en clair par les logs
    • Secrets stockés côté client
    • Exposition excessive de données par les APIs
    • Dépôts publics de développeurs
    • Historique Git d'un projet open source contenant des secrets
    • Dossier .git accessible publiquement en ligne

Mises en pratique :
- Reconnaissance à l'aide de Google dorks
- Découverte de l'outil Shodan
- Analyse statique de code open source grâce avec CodeQL
- Etude de programmes de bug bounty sur la plateforme HackerOne
- Etude de politique de divulgation responsable
- Rejeu et injection de requêtes HTTP modifiées
- Contournement d'un contrôle de sécurité basé sur une expression régulière censée accepter seulement un ensemble précis d'URLs
- Découverte et exploitation d'open redirects
- Déductions intéressantes à propos d'un système qui utilise des identifiants numériques séquentiels
- Découverte d'informations sur l'implémentation d'un backend à partir de messages d'erreurs verbeux
- Reconnaissance en ligne de système ayant laissé le directory listing activé
- Découvertes de secrets stockés côté client grâce à Burp Suite
- Analyse d'une API exposant des données sensibles
- Découverte de secrets laissés sur des dépôts GitHub public
- Expédition archéologie dans l'historique de dépôts Git
- Découverte à l'aide de Google dorks de dossiers .git exposés au monde entier

Jour 2 : failles liées aux entrées utilisateur·rice

  • Validation des entrées utilisateur·rice
    • Pourquoi la méfiance reste de mise
    • Validation côté client ou côté serveur ?
    • Les failles de type mass assignment
    • Les failles de type HTTP parameter pollution
  • Cross-site scripting (XSS)
    • Le concept d’origine Web
    • La Same-Origin Policy
    • Exécution arbitraire de code JavaScript côté client
    • Différents contextes d'exécution : HTML, CSS, JavaScript
    • Les différentes formes de XSS
    • Encodage contextuel
    • Défense en profondeur avec une Content-Security Policy
  • Injection (No)SQL
    • Principe du moindre privilège
    • Injection SQL
    • L'outil sqlmap
    • Injection NoSQL
  • Server-side request forgery (SSRF)
    • Définition
    • Exploitation
    • Impact
    • Défenses
  • Autres formes d'injection
    • Qu'entend-t-on par "injection" ?
    • OS command injection
    • Code injection
  • Fichiers
    • Failles courantes liées aux fichiers
    • Chargement (upload)
    • Path traversal
    • Local-File Inclusion
    • Remote-File Inclusion

Mises en pratique :
- Élévation de privilège grâce à l'exploitation d'une faille de type mass assignment
- Etude de cas d'une faille de type HTTP parameter pollution
- Exploitation d'une faille XSS à travers trois points d'injection dans différents contextes
- Exploitation de failles XSS plus avancées
- Exploitation manuelle d'une faille d'injection SQL
- Exploitation automatique d'une faille d'injection SQL grâce à sqlmap
- Exploitation d'une faille de type SSRF
- Exploitation d'une faille de type OS command injection
- Exploitation d'une faille de type code injection
- Exploitation d'une faille liée au chargement
- Exploitation d'une faille de type path traversal
- Exploitation d'une faille de type LFI
- Exploitation d'une faille de type RFI

Jour 3 : failles liées à l’authentification, l’autorisation, et à la gestion des sessions

  • Authentification
    • Définition
    • Énumération d'utilisateur·rice
    • Rate limiting
    • Questions de sécurité
    • Authentication à facteurs multiples
  • Mots de passe
    • Brefs rappels de cryptographie
    • Politique de robustesse
    • Mots de passe ayant fuité, haveibeenpwned
    • Faciliter l'utilisation d'un gestionnaire de mots de passe
    • Stockage
    • Salage et hachage
    • Réinitialisation de mot de passe
  • Cookies
    • Les cookies en bref
    • L'attribut Domain
    • L'attribut HttpOnly
    • L'attribut Secure
    • Le concept technique de site
    • L'attribut SameSite
    • L'attribut Path
    • Préfixes de cookie
  • Cross-site request forgery (CSRF)
    • Définition
    • Exploitation
    • Impact
    • Défenses
  • Clickjacking (CSRF)
    • Définition
    • Exploitation
    • Impact
    • Défenses
  • Cross-Origin Resource Sharing (CORS)
    • Brefs rappels sur la Same-Origin Policy
    • Alternatives dépassées au CORS
    • Le protocol CORS
    • Mauvaises configurations du CORS
  • Autorisation / contrôle d'accès
    • Distinction entre authentification et autorisation
    • Rôles and permissions
    • Insecure direct object reference (IDOR)
    • Missing function-level access control

Mises en pratique :
- Énumération d'utilisateur·rice grâce à un message d'erreur trop révélateur
- Contournement d'une mesure de rate limiting
- Décodage d'un mot de passe simplement encodé
- Recherche inverse des résultats d'algorithmes de hachage faibles
- Craquage de valeurs de hachage grâce à l'outil John the Ripper
- Recherche sur de mots de passe ayant fuité sur haveibeenpwned et leakcheck
- Consultation de plaintextoffenders
- Étude de l'effet des différents attributs de cookie
- Exploitation d'une faille de type CSRF
- Exploitation d'une faille de type clickjacking
- Exploitation d'une faille de type IDOR
- Exfiltration de données rendue possible par une mauvaise configuration du CORS

Discussion ouverte

En fonction du temps restant, les stagiaires pourront exploiter d'autres failles sur les applications volontairement vulnérables mises à leur disposition.

Télécharger le programme

Le(s) formateur(s)

Julien CRETEL

Julien CRETEL

Julien est à la fois développeur, chercheur en sécurité Web et formateur.

Son langage de prédilection est le Go, sujet sur lequel il a formé des centaines de professionnel·le·s depuis 2019. Il lui arrive aussi d'intervenir sur Go à l'occasion de conférences spécialisées, telles que GopherCon 2023 Europe.

Julien est actif dans le domaine de la sécurité Web. En marge des tests de sécurité (tests d'intrusion, évaluation de vulnérabilité, audit de codes, etc.) que ses clients lui confient et de ses activités de recherche indépendante, Julien forme régulièrement des professionnel·le·s sur la sécurité Web. Il s'adonne aussi, de temps à autre, à la chasse au bogues de sécurité (bug bounty hunting).

Julien partage ses réflexions et sa recherche sur son blog, qui est, sans surprises, principalement dédié au langage Go et à la sécurité Web.

Voir son profil détaillé

Gwendal LE COGUIC

Gwendal LE COGUIC

Gwendal est un développeur de longue date, il a commencé la programmation web en 97 et maitrise bien les standards du milieu.

Détenteur de la certification OSCP, il s'est reconverti dans la sécurité il y a quelques années afin d'opérer en tant que bug bounty hunter. Depuis il a codé de nombreux outils liés à la sécurité en PHP, Go, Python et Bash disponibles sur son Github.

Aujourd'hui Gwendal a pour ambition de partager sa passion en aidant les entreprises mais aussi les indépendants à mieux protéger leurs systèmes.

Voir son profil détaillé

A propos de Human Coders

Human Coders c'est un centre de formation pour développeurs avec :

  • une certification Qualiopi, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
  • de nombreux clients qui nous font confiance depuis des années
  • un manifeste pour garantir des formations à taille humaine, des formateurs passionnés, de véritables workshops...
  • 153 formations au catalogue, 1629 sessions depuis nos débuts en 2012 avec une moyenne de satisfaction de 4,6/5
  • la possibilité de vous proposer un accompagnement personnalisé ou du conseil après la formation

93 témoignages

Super formation, avec un support très intéressant. Formateur au top, tant sur le plan technique que pédagogique. En tant qu'admin sys, j'aurai...

Super formation, avec un support très intéressant. Formateur au top, tant sur le plan technique que pédagogique. En tant qu'admin sys, j'aurais préféré avoir plus d'informations sur la sécurité côté serveur (mais j'étais seul, entouré de dev PHP !).

Voir plus

J'ai acquis de nouvelles compétences et des connaissances grâce au programme. J'ai eu la chance de comprendre le sujet d'une manière à la fois...

J'ai acquis de nouvelles compétences et des connaissances grâce au programme. J'ai eu la chance de comprendre le sujet d'une manière à la fois pratique et théorique. Le formateur s'est engagé à fond avec nous et nous a beaucoup aidés.

Voir plus

La formation était très intéressante et interactive, j'ai appris pas mal de choses qui vont sans doute m'aider à mieux coder en prenant en com...

La formation était très intéressante et interactive, j'ai appris pas mal de choses qui vont sans doute m'aider à mieux coder en prenant en compte l'aspect sécurité.

Voir plus

RAS, la session s'est bien déroulée. Julien est un bon formateur, merci.

RAS, la session s'est bien déroulée. Julien est un bon formateur, merci.

Le côté pratique est très appréciable.

Le côté pratique est très appréciable.

La formation était très interessante. Elle m'a permis d'en apprendre plus sur la sécurité.

La formation était très interessante. Elle m'a permis d'en apprendre plus sur la sécurité.

Formation très intéressante et complète, avec un formateur compétant et sympathique.

Formation très intéressante et complète, avec un formateur compétant et sympathique.

Julien est un excellent formateur, calme et posé, qui explique bien. Comme les autres formations que j'ai déjà suivies chez Human Coders, cet...

Julien est un excellent formateur, calme et posé, qui explique bien. Comme les autres formations que j'ai déjà suivies chez Human Coders, cette formation Sécurité est très bonne et j'ai acquis beaucoup de nouvelles connaissances, malgré mes lacunes dans les pré-requis.

Voir plus

Excellente formation : elle m'a ouvert les yeux sur tout les problèmes de sécurité et les solutions à apporter pour sécuriser au mieux nos app...

Excellente formation : elle m'a ouvert les yeux sur tout les problèmes de sécurité et les solutions à apporter pour sécuriser au mieux nos applications WEB. Je recommande vivement !

Voir plus

Top. Du théorique suivi d'exercices pour chaque point vu dans le formation, c'était très intéressant et pas ennuyeux !

Top. Du théorique suivi d'exercices pour chaque point vu dans le formation, c'était très intéressant et pas ennuyeux !

La formation, enrichissante et intense, pourrait peut-être être prolongée à 4 jours afin de consacrer plus de temps à la partie pratique. Cela...

La formation, enrichissante et intense, pourrait peut-être être prolongée à 4 jours afin de consacrer plus de temps à la partie pratique. Cela permettrait d'approfondir les concepts abordés, de mieux assimiler les compétences techniques et d'offrir davantage d'occasions pour mettre en pratique les notions théoriques.

Voir plus

Formation très instructive, avec un intervenant pédagogue et impliqué.

Formation très instructive, avec un intervenant pédagogue et impliqué.

Formation complète et dense en information. Très bien pour les bases en sécurité.

Formation complète et dense en information. Très bien pour les bases en sécurité.

J’ai appris beaucoup de failles de sécurité que je ne connaissais pas du tout, merci beaucoup!

J’ai appris beaucoup de failles de sécurité que je ne connaissais pas du tout, merci beaucoup!

Un contenu très robuste et varié sur la notion de la sécurité dans le contexte web

Un contenu très robuste et varié sur la notion de la sécurité dans le contexte web

Très bonne formation !

Très bonne formation !

Très intéressant et très bien mené

Très intéressant et très bien mené

Julien nous avait prévenu. La formation est très ludique. Et ça n'a pas manqué : on se prend au jeu en cherchant les failles d'une application...

Julien nous avait prévenu. La formation est très ludique. Et ça n'a pas manqué : on se prend au jeu en cherchant les failles d'une application vulnérable. Cette formation est un éveil à la sécurité web. J'ai pris de nombreuses notes sur des points à vérifier à mon retour en entreprise.

Voir plus

Super formation et super formateur, Julien a une vraie expérience qu'il partage avec plaisir. Ces retours d'expérience sont très instructifs ...

Super formation et super formateur, Julien a une vraie expérience qu'il partage avec plaisir. Ces retours d'expérience sont très instructifs et nous donne matière à réflexion sur les éléments à mettre en place.

Voir plus

Julien est un très bon formateur, pédagogue, qui connaît bien son sujet tout en restant humble. La formation était parfaitement organisée et l...

Julien est un très bon formateur, pédagogue, qui connaît bien son sujet tout en restant humble. La formation était parfaitement organisée et les pauses suffisamment régulières pour pouvoir conserver toute notre concentration. Qu'on ait déjà des bases en sécurité ou non, cette formation peut intéresser tout le monde. A recommander les yeux fermés.

Voir plus

Formation intéressante et dynamique

Formation intéressante et dynamique

Julien explique de façon très claire et pédagogue les principaux concepts et failles de sécurité des applications web. Dans un domaine où il e...

Julien explique de façon très claire et pédagogue les principaux concepts et failles de sécurité des applications web. Dans un domaine où il est difficile d'être exhaustif, surtout en 3 jours, il arrive à donner les clés pour qu'on puisse continuer l'exploration de façon autonome avec une bonne compréhension des bases. Les nombreux exercices pratiques aident à bien comprendre les mécanismes d'attaque et de défense.

Voir plus

La formation Hacking et sécurité des applications web était intéressante, car elle m'a permis de prendre conscience des différentes menaces et...

La formation Hacking et sécurité des applications web était intéressante, car elle m'a permis de prendre conscience des différentes menaces et comment s'en protéger.

Voir plus

c'est interssant

c'est interssant

Cette formation m'a permis de bien mieux comprendre certaines notions de sécurité que je ne connaissais que dans les grandes lignes. C'est éga...

Cette formation m'a permis de bien mieux comprendre certaines notions de sécurité que je ne connaissais que dans les grandes lignes. C'est également, la formation idéale si vous souhaitez connaître les menaces auxquelles vos site sont exposés et comment vous en protéger.

Voir plus

Formateur au top, les TPs sont peu trop simples et trop guidés. On pourrait imaginer une épreuve CTF en fin de formation pour laisser les sta...

Formateur au top, les TPs sont peu trop simples et trop guidés. On pourrait imaginer une épreuve CTF en fin de formation pour laisser les stagiaires rechercher et tenter d'appliquer ce qu'ils ont vu pendant la formation

Voir plus

Excellente formation, même en ayant quelques notions de sécurité, on apprend quand même beaucoup !

Excellente formation, même en ayant quelques notions de sécurité, on apprend quand même beaucoup !

Une formation qui aborde la sécurité du côté offensif pour être plus à même de déterminer les mesures à prendre du côté défensif. Très enrichi...

Une formation qui aborde la sécurité du côté offensif pour être plus à même de déterminer les mesures à prendre du côté défensif. Très enrichissant.

Voir plus

Formateur très agréable, à l'écoute et adaptatif en fonction des différents niveaux d'expérience des participants

Formateur très agréable, à l'écoute et adaptatif en fonction des différents niveaux d'expérience des participants

j'ai apprécié les différents points qui ont été vus

j'ai apprécié les différents points qui ont été vus

La formation est très intéressante et permet de mettre en pratique les choses que nous apprenons au fur et à mesure de la formation. Je la con...

La formation est très intéressante et permet de mettre en pratique les choses que nous apprenons au fur et à mesure de la formation. Je la conseillerai à n'importe qui voulant sécuriser son application web.

Voir plus

Travaux pratiques un peu rapide. Peut-être laisser un peu plus de temps, même si certains n'ose pas le demander.

Travaux pratiques un peu rapide. Peut-être laisser un peu plus de temps, même si certains n'ose pas le demander.

Formation complète et passionnante. Les exercices pratiques de hacking sont un vrai plus pour comprendre les failles web et s'en protéger. Je ...

Formation complète et passionnante. Les exercices pratiques de hacking sont un vrai plus pour comprendre les failles web et s'en protéger. Je recommande !

Voir plus

La formation aborde de nombreuses failles de sécurité applicative avec une bonne dose de pratique. Même si les 3 jours peuvent paraitre un peu...

La formation aborde de nombreuses failles de sécurité applicative avec une bonne dose de pratique. Même si les 3 jours peuvent paraitre un peu court, ils sont suffisants pour mesurer l'impact que les problèmes de sécurité peuvent avoir sur les systèmes d’informations et prendre les mesures adéquates.

Voir plus

Formation très enrichissante dispensée par un formateur avenant qui connait son sujet. Mais 3 jours sont insuffisants pour tout voir et bien é...

Formation très enrichissante dispensée par un formateur avenant qui connait son sujet. Mais 3 jours sont insuffisants pour tout voir et bien étudier en détails tous les headers http et leurs valeurs possibles.

Voir plus

Formation très intéressante, avec un super formateur.

Formation très intéressante, avec un super formateur.

C'était super, tout à fait adapté à nos besoins, bien rythmé entre théorie et pratique. C'était trois journées bien utiles.

C'était super, tout à fait adapté à nos besoins, bien rythmé entre théorie et pratique. C'était trois journées bien utiles.

Formation très dynamique, avec une approche intéressante (sans doute au vu du sujet qui est atypique).

Formation très dynamique, avec une approche intéressante (sans doute au vu du sujet qui est atypique).

Très bonne formation un peu plus de pratique et adaptation au profil aurait donner un 5/5

Très bonne formation un peu plus de pratique et adaptation au profil aurait donner un 5/5

Très bonne formation. Le contenu et les TP sont réussis. Le formateur prend le temps d'expliquer les différentes vulnérabilités.

Très bonne formation. Le contenu et les TP sont réussis. Le formateur prend le temps d'expliquer les différentes vulnérabilités.

Excellente formation, Gwendal est évidemment un expert dans son domaine mais aussi et surtout un passionné et son enthousiasme est communicati...

Excellente formation, Gwendal est évidemment un expert dans son domaine mais aussi et surtout un passionné et son enthousiasme est communicatif ! Un très bon moyen de faire un tour d'horizon des différentes menaces pour avoir en tête les protections à mettre en place dans son code.

Voir plus

Formation très interessante.

Formation très interessante.

Top formation avec Julien.

Top formation avec Julien.

Approche passionnée du formateur qui a grandement contribué à la qualité de la formation. J'ai appris beaucoup de choses en très peu de temps....

Approche passionnée du formateur qui a grandement contribué à la qualité de la formation. J'ai appris beaucoup de choses en très peu de temps. Merci.

Voir plus

top

top

Super formation

Super formation

En tant que RSSI, je n'étais pas étranger aux différentes techniques utilisées par les attaquants, mais je n'avais pas forcément eu l'occasion...

En tant que RSSI, je n'étais pas étranger aux différentes techniques utilisées par les attaquants, mais je n'avais pas forcément eu l'occasion de pratiquer concrètement ni d'avoir l'explication du fonctionnement des standards, de comment ils pouvaient être détournés et de comment les sécuriser, n'ayant pas d'expérience en développement Web. C'est maintenant chose faite.

Voir plus

Cool, un peu plus rapide sur les slides et encore plus d'exemples concrets m'aideraient.

Cool, un peu plus rapide sur les slides et encore plus d'exemples concrets m'aideraient.

C'est une belle expérience et l'ambiance générale est bien

C'est une belle expérience et l'ambiance générale est bien

La formation correspond bien au sommaire présenté en amont.

La formation correspond bien au sommaire présenté en amont.

Formation qui donne un panorama pertinent sur les questions de sécurité des applications web. Les exercices permettent de comprendre les diffé...

Formation qui donne un panorama pertinent sur les questions de sécurité des applications web. Les exercices permettent de comprendre les différents types de failles et leur impact. L'utilisation de quelques outils (logiciels, scripts, sites) permet également de baliser un catalogue qui, d'un premier abord, est beaucoup trop vaste (Kali tools par exemple). Equilibre entre théorie, pratique, illustrations...

Voir plus

Formation très intéressante !

Formation très intéressante !

Cette formation sur la sécurité des applications web a été pédagogique. J'ai eu le luxe d'être en très petit comité (2 formateurs et 2 partici...

Cette formation sur la sécurité des applications web a été pédagogique. J'ai eu le luxe d'être en très petit comité (2 formateurs et 2 participants) pendant 3 jours. L'interface bWAPP est très bien faite pour mettre en pratique l'exploitation de failles de sécurité et la théorie était bien expliquée.

Voir plus

Très bonne formation pour bien comprendre les mécaniques du hacking et de la sécurité des applications web. Le formateur est à l'écoute et le ...

Très bonne formation pour bien comprendre les mécaniques du hacking et de la sécurité des applications web. Le formateur est à l'écoute et le programme bien structuré. De nombreuses informations utiles pour améliorer la sécurité des applications

Voir plus

Très bonne formation pour entrer dans le sujet

Très bonne formation pour entrer dans le sujet

Un support de cours fourni en début de formation (pdf ou autre) permettrait de plus se concentrer sur l'écoute du cours et moins sur la prise ...

Un support de cours fourni en début de formation (pdf ou autre) permettrait de plus se concentrer sur l'écoute du cours et moins sur la prise de notes. Je pense particulièrement à la liste des outils et des sites d'information.

Voir plus

Cette formation contribue à améliorer notre culture générale sur la sécurité et va nous conduire à améliorer nos pratiques

Cette formation contribue à améliorer notre culture générale sur la sécurité et va nous conduire à améliorer nos pratiques

La formation est bien animé et comporte une alternance de partage d'expérience et de travail pratique, la diffusion d'un support sera un plus.

La formation est bien animé et comporte une alternance de partage d'expérience et de travail pratique, la diffusion d'un support sera un plus.

Formation parfaite ! Elle aurait été encore mieux en "physique", mais le contexte actuel ne le permettait pas. Un grand merci pour cette forma...

Formation parfaite ! Elle aurait été encore mieux en "physique", mais le contexte actuel ne le permettait pas. Un grand merci pour cette formation de qualité.

Voir plus

Cette formation m'a fait découvrir tout un pan de l'informatique dont je minimisais l'importance. L'approche par des travaux pratiques perme...

Cette formation m'a fait découvrir tout un pan de l'informatique dont je minimisais l'importance. L'approche par des travaux pratiques permet d'assimiler plus facilement les différents concepts et de mieux comprendre par la suite l'importance des bonnes pratiques et outils à utiliser afin de mieux se prémunir.

Voir plus

Très bonne formation !

Très bonne formation !

Très bien

Très bien

Très bien

Très bien

Formation très intéressante qui sensibilise vraiment aux failles du développement WEB.

Formation très intéressante qui sensibilise vraiment aux failles du développement WEB.

Formation très intéressante qui sensibilise bien à la sécurité. Souvent on met l'accent sur la sécurité sans pour autant donner d'explication...

Formation très intéressante qui sensibilise bien à la sécurité. Souvent on met l'accent sur la sécurité sans pour autant donner d'explications tangibles. Là, on comprend bien le risque et l'enjeu qui se joue. Elle nécessite des prérequis de connaissance importants. Très bonne pédagogie du formateur.

Voir plus

Les formations à distance sont plus compliquées à suivre :)

Les formations à distance sont plus compliquées à suivre :)

Formation trop simple par rapport à mes connaissances Formateur très agréable

Formation trop simple par rapport à mes connaissances Formateur très agréable

Contenu qualitatif, formateur très pédagogue et compétent.

Contenu qualitatif, formateur très pédagogue et compétent.

Fred est un bon orateur, on bon pédagogue et très certainement un bon professionnel. La formation était homogène et bien répartie. Les cas d'...

Fred est un bon orateur, on bon pédagogue et très certainement un bon professionnel. La formation était homogène et bien répartie. Les cas d'exemples concrets. Bravo

Voir plus

C'est une bonne formation, mais en fonction des connaissances qu'on a déjà les TP seront plus abordables pour certaines personnes. Il vaut mie...

C'est une bonne formation, mais en fonction des connaissances qu'on a déjà les TP seront plus abordables pour certaines personnes. Il vaut mieux avoir un petit niveau en développement sinon c'est la noyade assurée. Personnellement, j'ai trouvé la formation super interessante mais je réalise qu'il y a des domaines ou je n'avais pas les compétences nécessaires pour bien assimiler certaines choses.

Voir plus

Formation très instructive, voir la sécurité de façon offensive est une expérience enrichissante !

Formation très instructive, voir la sécurité de façon offensive est une expérience enrichissante !

Super formation, et super formateur :) Malgré le contexte qui a transformé notre formation présentielle en full distance, j'ai vraiment été p...

Super formation, et super formateur :) Malgré le contexte qui a transformé notre formation présentielle en full distance, j'ai vraiment été plongé dans le contenu et les TP de la formation. Retour d'xp très intéressants aussi.

Voir plus

Bonne formation pour y voir un peu plus clair dans l'univers des failles de sécurités.

Bonne formation pour y voir un peu plus clair dans l'univers des failles de sécurités.

J'ai suivi cette formation en n'ayant que de très minces connaissances en sécurité et je l'ai trouvée claire et très accessible.

J'ai suivi cette formation en n'ayant que de très minces connaissances en sécurité et je l'ai trouvée claire et très accessible.

Même si elle s'est globalement bien passée, je pense que la formation à distance doit être frustrante pour le formateur.

Même si elle s'est globalement bien passée, je pense que la formation à distance doit être frustrante pour le formateur.

Très bon panorama de l'environnement de la sécurité des applications, bonnes introduction aux méthodologies, ponctuée s de travaux pratiques. ...

Très bon panorama de l'environnement de la sécurité des applications, bonnes introduction aux méthodologies, ponctuée s de travaux pratiques. Je recommande !

Voir plus

Formateur passionné et pédagogue. Merci beaucoup!

Formateur passionné et pédagogue. Merci beaucoup!

Bonne formation, avec des exercices pratiques et des exemples pour illustrer la théories

Bonne formation, avec des exercices pratiques et des exemples pour illustrer la théories

Un formateur excellent sur un sujet passionnant. Beaucoup d'expertise. Contenu riche. Je recommande vivement.

Un formateur excellent sur un sujet passionnant. Beaucoup d'expertise. Contenu riche. Je recommande vivement.

Excellente formation et formateur. Contenu pertinent et à la pointe, bien orienté développeurs et développements. Echanges réguliers durant la...

Excellente formation et formateur. Contenu pertinent et à la pointe, bien orienté développeurs et développements. Echanges réguliers durant la formation sur des REX pertinents. Théorie et pratique parfaitement en adéquation avec les problématiques du marché d'aujourd'hui.

Voir plus

J'ai appris énormément sur le sujet lors de cette formation. De nombreuses découvertes sur les vulnérabilités du web et cela à tout niveau (du...

J'ai appris énormément sur le sujet lors de cette formation. De nombreuses découvertes sur les vulnérabilités du web et cela à tout niveau (du développement aux choix d'architectures...).

Voir plus

Une formation enrichissante et nécessitant une base de compétence de développement pour les travaux pratiques. Du coup je pense que mon profi...

Une formation enrichissante et nécessitant une base de compétence de développement pour les travaux pratiques. Du coup je pense que mon profil n'était pas adéquat pour comprendre certaines parties de la formation.

Voir plus

Très interessant de se mettre à la place de l'attaquant afin d'en comprendre la méthodologie et les techniques utilisées.

Très interessant de se mettre à la place de l'attaquant afin d'en comprendre la méthodologie et les techniques utilisées.

Merci pour cette formation de sensibilisation à la sécurité

Merci pour cette formation de sensibilisation à la sécurité

La formation est très instructive et apporte beaucoup de clés, pour introduire à une démarche de développeur des éléments de réflexion autour ...

La formation est très instructive et apporte beaucoup de clés, pour introduire à une démarche de développeur des éléments de réflexion autour de la sécurité. J'ai été très intéressé par les sujets sur Agile + Sécurité (SCRUM SDLC, etc.)

Voir plus

Super formation ! Un intervenant très compétent et des connaissances utiles et surtout nécessaires aujourd'hui

Super formation ! Un intervenant très compétent et des connaissances utiles et surtout nécessaires aujourd'hui

Bonne formation.

Bonne formation.

sauf quelques probs téchniques (liés aux machines utilisées, pas à la formation), très bonne formation... intéressante, simple a suivre et bie...

sauf quelques probs téchniques (liés aux machines utilisées, pas à la formation), très bonne formation... intéressante, simple a suivre et bien plannifié niveau pratique pour suivre les concepts

Voir plus

très interessant

très interessant

Formation très intéressante. Travaux pratiques très enrichissants.

Formation très intéressante. Travaux pratiques très enrichissants.

Cette formation permet de vraiment se sensibiliser sur les pratiques des hackers afin de comprendre comment ces derniers peuvent repérer les f...

Cette formation permet de vraiment se sensibiliser sur les pratiques des hackers afin de comprendre comment ces derniers peuvent repérer les failles de nos applications. Très instructif !

Voir plus

Cette formation a été à la hauteur de nos attentes. Fred André est à l'écoute de son public. C'est un très bon professionnel qui nous a donné...

Cette formation a été à la hauteur de nos attentes. Fred André est à l'écoute de son public. C'est un très bon professionnel qui nous a donné de nombreuses pistes d'amélioration pour nos développements actuels et futurs.

Voir plus

C'était très bien, rien d'autre à ajouter.

C'était très bien, rien d'autre à ajouter.

Prix (Formation inter-entreprise)

1900 € HT / personne

Durée

3 jours

10% de remise commerciale dès 2 inscriptions sur la même date

Dates

Mars
3 Paris
Avril
7 À distance
Mai
21 À distance

N'hésitez pas à nous proposer d'autres dates ou lieux, si ceux proposés ne vous conviennent pas.

Formation dans vos locaux, nos locaux ou à distance pour un groupe de collaborateurs de votre entreprise.

Vous souhaitez modifier le programme, l'adapter pour vos équipes ? Indiquez nous vos attentes dans le formulaire ci dessous !

Durée

3 jours

Formation privatisée pour une personne

  • Nous adaptons le contenu à vos besoins et attentes spécifiques
  • Vous choisissez la période de réalisation (la session est garantie)
  • Le·a formateur·rice adapte les exercices en fonction de votre projet

Durée

3 jours

Besoin d'aide ?

Vous souhaitez discuter avec nous à propos de votre projet de formation ?
Vous voulez plus d'information sur une formation ou notre fonctionnement ?


Rappel Email

Nos forces

  • Des formations à taille humaine
  • Des formateurs passionnés
  • Des véritables workshop
Accéder au Manifeste

Nos clients

Alcatel Submarine Networks
Deezer
Société Générale (GBSU/HUM)
Orange
Wemind
Ministère de la Justice

* Nombre de personnes ayant répondu au questionnaire de satisfaction sur cette formation depuis 2012