Udemy

Platform

Français

Language

Network & Security

Category

Hacking Éthique : Tests d'intrusion et sécurité web

Apprenez à sécuriser vos sites contre les failles web (website penetration testing)

4.69 (395 reviews)

Students

7 hours

Content

Jul 2021

Last Update
Regular Price


What you will learn

Comprendre et savoir détecter les failles web.

Comprendre comment corriger les problèmes de sécurité des applications web.

Comprendre le fonctionnement d'un site web.

Comprendre comment mettre en place un environnement de test volontairement faillible.


Description

Bienvenue dans ce cours vidéo sur la sécurité web !

MISE À JOUR 2021 : 40 000 étudiants suivent mes cours ! Merci d'être si nombreux !

Ce cours se focalise entièrement sur la sécurisation de sites web. Nous passerons par la démarche classique du hacking éthique : apprendre et comprendre les attaques afin de nous en protéger concrètement.

Vous allez mettre en place un environnement de test avec des machines virtuelles Kali Linux, Metasploitable et Windows 10 afin d'installer des applications web volontairement vulnérables que l'on pourra attaquer sans rien casser.

Vous découvrirez les diverses failles web à travers des modules pratiques vous permettant de passer d'un niveau débutant à un niveau plus avancé.

Le cours est divisé en 10 sections

1. Mettre en place un environnement de test

Vous allez installer Kali Linux, Metasploitable et Windows 10 en tant que machines virtuelles. La méthode d'installation a été simplifiée au maximum pour vous éviter toutes démarches fastidieuses.

2. Comprendre le fonctionnement d'un site web

Nous mettrons en place les fondations avant de continuer : comment fonctionne un site web et comment interagissent les divers composants, comment fonctionnent DNS, HTTP et HTTPS.

3. Comprendre la récupération d'informations et s'en protéger

Une étape trop souvent oubliée qui permet à un attaquant d'en apprendre beaucoup sur votre site web et sur votre organisation. Nous passerons en revue divers services et outils permettant à des attaquants de découvrir de précieuses informations sur vos produits et ressources. Vous saurez les utiliser sur vos sites avant qu'on ne le fasse contre vous et afin de corriger les problèmes en amont.

4. Comprendre l'injection SQL et s'en protéger

Nous passerons longuement en revue la faille web la plus populaire du moment. Vous découvrirez différentes façons de l'exploiter et comprendrez l'importance de non seulement vous en protéger mais en plus de bien savoir le faire.

5. Injection SQL avancée

Nous donnerons davantage d'exemples et nous expliquerons pourquoi les concepts de sécurité doivent bien être maîtrisés pour offrir une sécurité efficace et complète.

6. Comprendre les problèmes d'authentification et de session

Les vols de sessions, la faille CSRF (Cross site request forgery) et les bruteforces sont au programme de cette section. Vous obtiendrez des démonstrations de ces problèmes de sécurité ainsi que les moyens de vous en prémunir.

7. Comprendre les problèmes d'Inclusion de fichiers

Les failles LFI (Local File Inclusion) et RFI (Remote File Inclusion) aussi appelées "Faille Include" seront étudiées. Vous découvrirez que ce n'est pas parce qu'une faille n'est pas très connue qu'elle n'est pas très dangereuse...

8. Comprendre et éviter les Mauvaises configurations de sécurité

Dans cette section, nous allons regrouper les soucis courants liés à des mauvaises configurations de sécurité : la faille file upload permettant à un pirate d'uploader des fichiers arbitraires sur un serveur, le clickjacking, l'injection de commandes et le déni de service.

9. Comprendre et éviter la faille XSS (Cross-site scripting)

Probablement l'une des failles les plus connues qui permet à un attaquant d'injecter du script arbitraire dans des sites web vulnérables. Vous découvrirez les différentes possibilités d'exploitation et les contre-mesures.

10. Utilisation de composants vulnérables et scans automatisés

Il s'agit d'une section très importante dans laquelle on insistera sur la faille humaine qui rend toute notre infrastructure vulnérable. Démonstration avec un plugin vulnérable et un thème backdooré sous Wordpress. Avec bien entendu des conseils de sécurité spécifiques à WordPress.

Nous passerons à l'exécution d'outils automatisés afin d'épauler le hacker éthique dans sa tâche de sécurisation de sites web.

14. Conclusion

Conclusion de ce cours et derniers conseils.

Le cours s'adresse aux débutants et initiés en priorité. Vous  saurez à la fin de chaque session comment détecter et corriger  concrètement les diverses vulnérabilités. Vous aurez également un quiz  de fin de section et diverses ressources additionnelles pour compléter  les vidéos.

Ce que vous saurez faire à la fin de ce cours :

• Comprendre et savoir détecter les failles web

• Comprendre comment corriger les problèmes de sécurité des applications web

• Comprendre le fonctionnement d'un site web

• Comprendre comment mettre en place un environnement de test volontairement faillible

• Et bien d'autres...


À propos :

Cyberini est un centre de formation spécialisé en hacking éthique créé en 2017 et noté 4,6/5 sur le thème "Qualité des cours" d'après un sondage Typeform auprès de 100 étudiants entre mars et décembre 2020.


Michel KARTNER est le fondateur de Cyberini.

Formateur cybersécurité indépendant depuis 2013, il détient un Master en réseaux informatiques et systèmes embarqués.

Il a été consultant cybersécurité junior dans une grande entreprise internationale où il travaillait à la fois sur des projets clients et des projets internes.

Fortes de + de 40 000 étudiants, les formations Cyberini sont appréciées pour leur côté pratique et directement utilisable au quotidien et/ou dans le cadre professionnel. Le support technique est inclut par défaut, sans frais supplémentaires, ainsi que toutes les mises à jour.


Michel n’est pas un pirate, c’est un hacker éthique qui aide les internautes à se protéger.

Complément d’enquête émission dédiée aux écoutes téléphoniques – FRANCE 2



NOTES IMPORTANTES:

- Les systèmes, méthodologies et programmes cités dans ce cours sont utilisés à but éducatif et préventif uniquement, et dans le cadre d'une utilisation à titre privé. Toutes les autorisations ont été reçues au préalable et toutes les précautions nécessaires ont été mises en place pour assurer un apprentissage légal et sans risque pour autrui. Cependant, Il VOUS incombe de vérifier toutes les lois applicables à votre situation et toutes les règles ou contrats en vigueur, notamment avec des prestataires/hébergeurs utilisés. En rejoignant ce cours, vous vous déclarez ainsi seul(e) responsable de vos actions, et aucune responsabilité de la part de l'instructeur ne sera engagée quant à la mauvaise utilisation du contenu enseigné.

En d'autres termes, ce cours n'est pas destiné aux apprentis PIRATES informatiques, qui n'auront pas ce qu'ils cherchent et qui seront écartés du cours s'ils contreviennent à cette ligne de conduite.

- Ce cours n'est affilié à aucun autre cours sur le Hacking dont je ne suis pas l'auteur (Cyberini/Michel Kartner). Attention au contenu recopié ou très similaire dont je ne pourrai fournir aucune approbation ni support.


Un cours by Cyberini (Michel Kartner).


Screenshots

Hacking Éthique : Tests d'intrusion et sécurité web
Hacking Éthique : Tests d'intrusion et sécurité web
Hacking Éthique : Tests d'intrusion et sécurité web
Hacking Éthique : Tests d'intrusion et sécurité web

Content

Introduction

Pourquoi se mettre dans la peau d'un pirate ?

Pourquoi sécuriser son site ?

Mise en place de notre environnement de test

Aperçu du lab & Installation de Virtualbox

Installation de Kali Linux en tant que machine virtuelle

Installation de Metasploitable en tant que machine virtuelle cible

Installation de Windows 10 en tant que machine virtuelle cible

Connexion des machines virtuelles entre elles

Fonctionnement d'un site web

L'architecture web

Fonctionnement de DNS partie 1

Fonctionnement de DNS partie 2

Fonctionnement de DNS, exemple pratique avec DIG

Fonctionnement d'HTTP

Fonctionnement d'HTTPS

Les types de vulnérabilités web (référentiel OWASP top 10)

Quiz n°1

Note importante avant de continuer

La récupération d'informations

Rechercher (et masquer) les informations WHOIS

Recherche WHOIS inversée

Découvrir les technologies utilisées sur un site web avec BuiltWith

Remonter dans l'historique d'un site web

Recherche d'informations via DNS

Le Google hacking

Reconnaissance avec l'outil Recon-ng

Reconnaissance avec l'outil Maltego

Quiz n°2

L'injection SQL

Qu'est-ce que SQL ?

MySQL en ligne de commande sous Metasploitable

Qu'est-ce que l'injection SQL ?

Injections SQL et Dorks

Injection SQL dans un champ password sous Metasploitable

Injection SQL intermédiaire sous Metasploitable

Exemple de sécurité contre la faille SQL

Exploitation avec l'injection SQL

Exploitation avec l'Injection SQL à l'aveugle

Quiz n°3

Injection SQL avancée

Contourner les filtres

Contourner les filtres partie 2

Lire des fichiers avec l'injection SQL

Se protéger concrètement contre l'injection SQL

Le fichier PHP.ini

Quiz n°4

Installation de Mutillidae 2 sous Windows

Installation de XAMPP et Mutillidae 2

Si vous rencontrez une erreur avec Mutillidae 2

Problèmes d'authentification et de session

Bruteforce de DVWA avec Hydra

Vols de session et contre-mesures

Vol de session via le réseau

La faille CSRF (Cross-site request forgery)

Se protéger contre la faille CSRF

Enumération des utilisateurs avec Burp Suite

Quiz n°5

Inclusion de fichiers

Inclusion de fichier via les Entités XML Externes

Inclusion de fichier via la faille Include locale

Shell PHP & Backdoor avec la faille RFI (Remote File Inclusion)

Se prémunir contre les failles include

Quiz n°6

Mauvaises configurations de sécurité

Directory Browsing

Faille File Upload

Faille File Upload Avancée et sécurisation

ClickJacking

Injection de commandes & Déni de service

Quiz n°7

La faille XSS (Cross-site Scripting)

Faille XSS Réfléchie

Faille XSS Stockée et exploitation avec Beef XSS Framework

Faille XSS basée sur le DOM

Faille XSS via les paramètres GET et POST

Faille XSS via les entêtes HTTP

Se protéger contre la faille XSS

Quiz n°8

Utilisation de composants vulnérables

Plugin Wordpress vulnérable

Theme Wordpress & Backdoor

Conseils de sécurité sous Wordpress

Quiz n°9

Outils de scanning et de test de vulnérabilités

Scan du site web avec Owasp Zap

Scan du site web avec Nikto

Scan du site web avec WPScan

Quiz n°10

Conclusion

Conclusion de ce cours et derniers conseils

SESSION BONUS pour les membres du cours


Reviews

D
Damien27 January 2021

Pour l'instant je suis avec le cerveau en ébullition, j'ai hâte d'en apprendre plus et la méthode d'apprentissage (explications, vitesse d'explications, timbre de voix, langage informatique) tout est au top !

F
Frederic11 November 2020

Très pédagogique. C'était vraiment très intéressant de revenir aux bases afin de montrer pourquoi certains type d'attaque ont pu voir le jour comme l'injection de script via le user-agent...

C
Christophe19 September 2020

Les étapes d'installation et configuration de Virtual box & Kali sont parfaitement expliquées et détaillées ! Bravo Tout est parfait pour le moment ! :)

A
Anthony6 September 2020

J'ai beaucoup appris et je sais que le travail fourni pour cette formation est très conséquent et mérite fortement son prix :D

K
Kevin20 May 2020

Des solutions sont données aux failles découvertes, et donne de belle perspective pour le pentest. Bien sûre étant un cours facilement accessible aucune solution d'exploitation des failles n'est donnée, mais les découvrir suffit à les combler.

M
Moghunter28 April 2020

Merci pour ce cours complet sur les vulnérabilités web, cela m'a permis d'en apprendre plus sur le hacking ethique de manière général , d'utiliser les outils adéquats pour trouver différentes failles de sécurité, ainsi que la mise en place de contre-mesures adaptés. je recommande pour les débutant ou les étudiants en formation d'administration sécurité des systèmes et des réseaux souhaitant en apprendre plus sur la sécurité informatique.

Y
Yannick6 April 2020

J'apprend minutes après minutes. Élocution, explication, illustration claires ect,. C'est exactement ce qui est attendu d'une formation et donc pourquoi est-ce que ça serait moins de 5 étoiles ?

L
Ludovic3 April 2020

Explications peu claires: utilisations des programmes en vbox. Ne traite que de l'intrusion finalement par 2 méthodes: injection SQL: trop facile et évidente pour n'importe quel webmaster digne de ce nom qui aura prévu toutes les vérifications en PHP sur le serveur quitte même à tout laisser visible. n'utilise qu'une séquence de scrypts qui ne nécessite pas de vbox (depuis un autre site internet par exemple).

r
redouane28 March 2020

Une très bonne formation, je suis très satisfait du contenu ainsi que de la qualité des explications fournies par le formateur.

D
Damien9 December 2019

Vraiment un super format de cours! J'ai appris énormément et cela m'a conforté dans mon envie de faire évoluer ma profession dans le milieu de la cybersécurité. Merci à vous, pour votre temps et votre savoir

c
chakib8 December 2019

Très bon cours très orientée éthique mais parfois trop à mon goût jusqu'à perdre des connaissances que les pirates utilisent et dont on ne connaîtra rien ! C'est un choix. Mais sinon tous les principes de sécurité informatique, ici dans le web, sont très bien expliqué, j'ai acheté les quatre cours Hacker Ethique et j'en suis satisfais je conseille fortement !

H
Hernan7 July 2019

n'etant pas expert dans les langages de programmation ))), j'aurai voulu bien sur un souhait avoir des parties de codes a introduire a tel ou tel endroit car évidement l'objectif de cours c'est bien sur se protéger . autrement c'est très bien expliqué, rythme de la voix parfaite pas "speed" comme bien d'autres que croient que plus vite parlent plus, ils donnent c'est faut car une voix pausé c'est plus compréhensible,..merci

J
Jean-Paul2 February 2019

Je suis très satisfait de ce cours, par contre, je me suis aperçus tout au long de ces explications, qu'il fallait vraiment un minimum de connaissances. Je ne connais pas trop les commandes linux.. mais sans cela, c'est très clair. Peut-être un peu rapide pour un novice, mais avec la possibilité de revenir sur les cours, ça permets d'apprendre à son rythme. J'ai toujours voulu accroître mes connaissances et je trouve que c'est assez facile sur votre site. Les explications sont claires et bien définies. Les sujets sont très précis. Je vais terminer le cours avec un peu de mal, car je manque de connaissance, mais le principe est compris et je peux maintenant, m'impliquer plus dans les lacunes afin de pouvoir remédier à mes problèmes. Je remercie Michel Kartner pour ses cours que j'apprécie énormément. Cordialement. JP

B
Bernard3 August 2018

J'ai bien apprécié ce cours. Il ne me reste plus qu'à pratiquer tout cela pour mieux comprendre. Si possible, indiquer un lien pour ajouter des machines virtuelles (machine avec divers type de failles de sécurité, machine avec kali linux,...). Restez curieux et continuez à aider les autres, merci ! :-)

N
Noella25 March 2018

Pour mon premier cours via Udemy.com, je comprend enfin ce qu'est; HTTPS, SSL, les codes d'erreurs et le processus de clé privée/publique. J'aurai aimez avoir une liste d'un ou plusieurs programmes pour voir ce qui se passe sur la carte réseau, donc j'ai posé la questions.


1323218

Udemy ID

8/16/2017

Course created date

10/6/2019

Course Indexed date
Bot
Course Submitted by