Hacking et sécurité des applications web

  • Paris 17e

Objectifs


  • Adopter les bonnes pratiques de développement sécurisé pour prévenir les failles

  • Apprendre à **détecter des vulnérabilités** en inspectant le code et/ou en observant le comportement d'une application Web

  • Découvrir, configurer et utiliser des **outils** (Burp Suite, DevTools du navigateur, etc.) permettant d'**analyser** efficacement vos applications

Description

Jour 1 : rappels, exposition d'informations sensibles, validation insuffisante des entrées utilisateur·rice - **Préambule**


  • Objectifs et modalités de la formation

  • Profils et motivations des adversaires

  • Outils pratiques pour la sécurité Web

  • Description de la criticité grâce au *Common Vulnerability Scoring System* (CVSS)

  • Rappels sur les DevTools du navigateur -
Rappels autour du HTTP


  • - Le protocole central du Web

  • Anatomie d'une requête et réponse

  • HTTPS, certificats, et autorités de certification

  • Les cookies

  • HTTP : un protocole non-chiffré

  • Attaque par interception (MitM)

  • L'attribut de cookie `Secure`

  • Falsification de cookie depuis une origine `http`

  • Le préfixe de nom de cookie `
Secure-` - HTTP Strict Transport Security (HSTS) -


  • Présentation de Burp Suite
- Le proxy d'interception - L'historique HTTP - Intercepter des requêtes avec l'outil *Intercept* - Rejouer des requêtes avec l'outil *Repeater* - Automatiser une attaque de force brute avec l'outil *Intruder* - Encoder/décoder des donnés avec les outils *Decoder* et *CyberChef* -


  • Présentation de l'OWASP Juice Shop
- Une application Web volontairement vulnérable - Des challenges nombreux et variés mais inégaux - Réglages de Burp Suite pour confortablement attaquer le Juice Shop -


  • Exposition d'informations sensibles
- Informations sensibles présentes côté client - Fichiers cachés mais accessibles sur le serveur - Endpoints sensibles accessibles - Identifiants numériques séquentiels - Messages d'erreurs trop verbeux - Journalisation inadéquate de données sensibles - *Google dorks* - Le service Shodan - *Directory listing* - Exposition excessive de données par les APIs - Dépôts publics de développeurs·euses - Historique Git d'un projet open source contenant des secrets - Dossier `.git` accessible publiquement en ligne -


  • Validation insuffisante des entrées utilisateur·rice
- Pourquoi la méfiance reste de mise - Validation côté client ou côté serveur ? - Traitement des URLs - Redirections ouvertes - Validation insuffisante lors du téléchargement de fichiers - Traversée de répertoires


  • *Mises en pratique :
* - *Expériences avec l'attribut de cookie `Secure` au sein du navigateur* - *Familiarisation avec chacun des outils listés* - *Création d'une instance par participant·e* - *Tour d'horizon de l'application Web* - *Résolution de nombreux challenges pertinents sur le Juice Shop* - *Reconnaissance à l'aide de Google dorks* - *Découverte de l'outil Shodan* - *Déductions intéressantes...

Liste des sessions

29 juin 2026 > 1 juillet 2026

Human Coders

  • 0184173896
  • formation@humancoders.com

Centre de formation

11bis Passage Doisy, 75017 Paris 17e

Lieu de formation

11bis Passage Doisy, 75017 Paris 17e
Contacter Ouvre dans un nouvel onglet