Durant cette formation particulièrement ludique, vous apprendrez à penser comme un hacker et à attaquer vos applications Web à l’aide d’outils divers. Vous saurez alors tester la robustesse de vos applications Web et leur apporter les éventuels correctifs nécessaires.

Cette formation Hacking et sécurité des applications Web s’adresse à des développeurs et développeuses Web (frontend, backend, ou full-stack) souhaitant monter en compétence sur les thématiques liées à la sécurité applicative, en comprenant comment les adversaires compromettent les applications Web et comment se prémunir des attaques visant ces applications.

Ces dernières années, les applications Web sont devenues les pièces maîtresses des systèmes d’information. Elles sont populaires et incontournables, aussi bien auprès des utilisateurs/utilisatrices que de l’organisation qui les déploie.

C’est pour cela que, même si le paysage des menaces évolue au gré des usages et des évolutions technologiques, les applications Web restent invariablement l’un, si ce n’est le plus important, des vecteurs d’attaques dirigées contre un système d’information. Or, la sécurisation de ces applications Web est souvent reléguée, soit par manque de connaissances spécifiques soit sous la pression du rythme de leur développement, quand elle ne passe pas tout simplement à la trappe !

Pour votre entreprise, les conséquences d’une attaque se traduisent directement en vol d’information, perte d’actifs, interruption d’activité, perte de clients ou de crédibilité, lourdes amendes, etc. Les coûts associés peuvent alors exploser, au point de mettre l’organisation en péril !

A l’issue de cette formation Hacking et sécurité des applications Web de trois jours, mêlant attaque et défense, ponctuée de nombreux exercices pratiques sur plusieurs applications volontairement vulnérables, vous aurez appris à tester et à renforcer la sécurité de vos applications Web. Vous garderez l’accès à l'intégralité du support de la formation (slides).

Envie d'aller plus loin ?

Pour améliorer vos connaissances des processus à l'œuvre dans la détection et l'analyse d'attaques informatiques, jetez un œil à la formation Réponse à un incident !

Les objectifs

• Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre une application vulnérable
• Apprendre à détecter des vulnérabilités en inspectant le code et/ou en observant le comportement d’une application Web
• Installer, configurer et utiliser des outils permettant d’analyser efficacement vos applications

Pré-requis

• Expérience en programmation, idéalement en développement Web. Une certaine familiarité avec les langages HTML, JavaScript, et SQL, ainsi qu’avec le Document Object Model (DOM) est recommandée afin de profiter pleinement de la formation.
• Des droits d'administration suffisants pour installer Burp Suite Community Edition, outil nécessaire à la réalisation de nombreux travaux pratiques
• Ordinateur portable à apporter

Le programme de la formation Hacking et sécurité des applications web

Jour 1 : mise en jambes

Le paysage de l'insécurité Web

• Architecture typique d'une application Web
• Open Web Application Security Project (OWASP)
• Le top des vulnérabilités selon OWASP
• Common Weakness Enumerations (CWEs)
• Common Vulnerabilities & Exposures (CVEs)
• Common Vulnerability Scoring System (CVSSv3.1)
• Adversaires externes et internes
• Profils des adversaires
• Les différentes étapes d'une attaque
• Un tour d'horizon de l'arsenal des adversaires

Mises en pratique :
- Reconnaissance à l'aide de Google dorks
- Découverte de l'outil Shodan

La place de la sécurité dans le cycle de développement

• L'importance de l'inventaire
• Shadow IT
• Biais envers la production au détriment de la sécurité
• (In)compatibilité avec les approches dites "Agile" ?
• Le mouvement DevSecOps
• L'importance des tests
• Revues de code
• Analyse statique
• Analyse dynamique

Mise en pratique :
- Analyse statique de code open source grâce avec CodeQL

Aide externe pour la sécurité

• Audits de sécurité
• Programme de prime au bug (bug bounty)
• Politique de divulgation responsable
• Différents niveaux de divulgation

Mises en pratique :
- Etude de programmes de bug bounty sur la plateforme HackerOne
- Etude de politique de divulgation responsable

Le protocole HTTP

• HyperText Transport Protocol : le protocol central du Web
• Requêtes et réponses HTTP
• Sémantique des différentes méthodes HTTP standard
• Codes HTTP
• HTTPS
• Passage en revue des Dev Tools de Chrome
• Introduction à l'outil Burp Suite

Mise en pratique :
- Rejeu et injection de requêtes HTTP modifiées

URLs

• Anatomie d'une URL
• Des disparités inquiétantes entre parseurs
• Ignorez les subtilités du format URL à vos risques et périls !
• Les failles de type open redirect

Mises en pratique :
- Contournement d'un contrôle de sécurité basé sur une expression régulière censée accepter seulement un ensemble précis d'URLs
- Découverte et exploitation d'open redirects

Exposition d'informations sensibles

• Identifiants numériques séquentiels
• Messages d'erreurs verbeux
• Directory listing
• Capture de données sensibles en clair par les logs
• Secrets stockés côté client
• Exposition excessive de données par les APIs
• Dépôts publics de développeurs
• Historique Git d'un projet open source contenant des secrets
• Dossier .git accessible publiquement en ligne

Mises en pratique :
- Déductions intéressantes à propos d'un système qui utilise des identifiants numériques séquentiels
- Découverte d'informations sur l'implémentation d'un backend à partir de messages d'erreurs verbeux
- Reconnaissance en ligne de système ayant laissé le directory listing activé
- Découvertes de secrets stockés côté client grâce à Burp Suite
- Analyse d'une API exposant des données sensibles
- Découverte de secrets laissés sur des dépôts GitHub public
- Expédition archéologie dans l'historique de dépôts Git
- Découverte à l'aide de Google dorks de dossiers .git exposés au monde entier

Jour 2 : failles liées aux entrées utilisateur/utilisatrice

Validation des entrées utilisateur/utilisatrice

• Pourquoi la méfiance reste de mise
• Validation côté client ou côté serveur ?
• Les failles de type mass assignment
• Les failles de type HTTP parameter pollution

Mises en pratique :
- Élévation de privilège grâce à l'exploitation d'une faille de type mass assignment
- Etude de cas d'une faille de type HTTP parameter pollution

Cross-site scripting (XSS)

• Le concept d’origine Web
• La Same-Origin Policy
• Exécution arbitraire de code JavaScript côté client
• Différents contextes d'exécution : HTML, CSS, JavaScript
• Les différentes formes de XSS
• Encodage contextuel
• Défense en profondeur avec une Content-Security Policy

Mises en pratique :
- Exploitation d'une faille XSS à travers trois points d'injection dans différents contextes
- Exploitation de failles XSS plus avancées

Injection (No)SQL

• Principe du moindre privilège
• Injection SQL
• L'outil sqlmap
• Injection NoSQL

Mises en pratique :
- Exploitation manuelle d'une faille d'injection SQL
- Exploitation automatique d'une faille d'injection SQL grâce à sqlmap

Server-side request forgery (SSRF)

• Définition
• Exploitation
• Impact
• Défenses

Mise en pratique :
- Exploitation d'une faille de type SSRF

Autres formes d'injection

• Qu'entend-t-on par "injection" ?
• OS command injection
• Code injection

Mises en pratique :
- Exploitation d'une faille de type OS command injection
- Exploitation d'une faille de type code injection

Fichiers

• Failles courantes liées aux fichiers
• Chargement (upload)
• Path traversal
• Local-File Inclusion
• Remote-File Inclusion

Mises en pratique :
- Exploitation d'une faille liée au chargement
- Exploitation d'une faille de type path traversal
- Exploitation d'une faille de type LFI
- Exploitation d'une faille de type RFI

Jour 3 : failles liées à l’authentification, l’autorisation, et à la gestion des sessions

Authentification

• Définition
• Énumération d'utilisateurs/utilisatrices
• Rate limiting
• Questions de sécurité
• Authentication à facteurs multiples

Mises en pratique :
- Énumération d'utilisateurs/utilisatrices grâce à un message d'erreur trop révélateur
- Contournement d'une mesure de rate limiting

Mots de passe

• Brefs rappels de cryptographie
• Politique de robustesse
• Mots de passe ayant fuité, haveibeenpwned
• Faciliter l'utilisation d'un gestionnaire de mots de passe
• Stockage
• Salage et hachage
• Réinitialisation de mot de passe

Mises en pratique :
- Décodage d'un mot de passe simplement encodé
- Recherche inverse des résultats d'algorithmes de hachage faibles
- Craquage de valeurs de hachage grâce à l'outil John the Ripper
- Recherche sur de mots de passe ayant fuité sur haveibeenpwned et leakcheck
- Consultation de plaintextoffenders

Cookies

• Les cookies en bref
• L'attribut Domain
• L'attribut HttpOnly
• L'attribut Secure
• Le concept technique de site
• L'attribut SameSite
• L'attribut Path
• Préfixes de cookie

Mise en pratique :
- Étude de l'effet des différents attributs de cookie

Cross-site request forgery (CSRF)

• Définition
• Exploitation
• Impact
• Défenses

Mise en pratique :
- Exploitation d'une faille de type CSRF

Clickjacking (CSRF)

• Définition
• Exploitation
• Impact
• Défenses

Mise en pratique :
- Exploitation d'une faille de type clickjacking

Autorisation / contrôle d'accès

• Distinction entre authentification et autorisation
• Rôles and permissions
• Insecure direct object reference (IDOR)
• Missing function-level access control

Mise en pratique :
- Exploitation d'une faille de type IDOR

Cross-Origin Resource Sharing (CORS)

• Brefs rappels sur la Same-Origin Policy
• Alternatives dépassées au CORS
• Le protocol CORS
• Mauvaises configurations du CORS

Mise en pratique :
- Exfiltration de données rendue possible par une mauvaise configuration du CORS

Discussion ouverte

En fonction du temps restant, les stagiaires pourront exploiter d'autres failles sur les applications volontairement vulnérables mises à leur disposition.

Le(s) formateur(s)

A propos de Human Coders

Human Coders c'est un centre de formation pour développeurs avec :

• une certification Qualiopi, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
• de nombreux clients qui nous font confiance depuis des années
• un manifeste pour garantir des formations à taille humaine, des formateurs passionnés, de véritables workshops...
• 96 formations au catalogue, 1385 sessions depuis nos débuts en 2012 avec une moyenne de satisfaction de 4,6/5
• la possibilité de vous proposer un accompagnement personnalisé ou du conseil après la formation