Tags
Language
Tags
December 2024
Su Mo Tu We Th Fr Sa
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 1 2 3 4

Hacking Éthique : Tests D'Intrusion Et Sécurité Web

Posted By: ELK1nG
Hacking Éthique : Tests D'Intrusion Et Sécurité Web

Hacking Éthique : Tests D'Intrusion Et Sécurité Web
Dernière mise à jour : 9/2022
MP4 | Video: h264, 1280x720 | Audio: AAC, 44.1 KHz
Language: Français | Size: 5.67 GB | Duration: 7h 21m

Apprenez à sécuriser vos sites contre les failles web (website penetration testing)

What you'll learn
Comprendre et savoir détecter les failles web.
Comprendre comment corriger les problèmes de sécurité des applications web.
Comprendre le fonctionnement d'un site web.
Comprendre comment mettre en place un environnement de test volontairement faillible.
Requirements
Vous devez avoir des notions de bases sur Internet et l'informatique.
Vous devez avoir une machine Windows avec 6Go de RAM ou plus
Vous devez savoir différencier "Hacking éthique" de "piratage informatique"
Description
Bienvenue dans ce cours vidéo sur la sécurité web ! Ce cours se focalise entièrement sur la sécurisation de sites web.
Nous passerons par la démarche classique du hacking éthique : apprendre et comprendre les attaques afin de nous en protéger concrètement.Vous allez mettre en place un environnement de test avec des machines virtuelles Kali Linux,
Metasploitable et Windows 10 afin d'installer des applications web volontairement vulnérables que l'on pourra attaquer sans rien casser.Vous découvrirez les diverses failles web à travers des modules pratiques vous permettant de passer d'un niveau débutant à un niveau plus avancé.Le cours est divisé en 10 sections : 1. Mettre en place un environnement de testVous allez installer Kali Linux, Metasploitable et Windows 10 en tant que machines virtuelles. La méthode d'installation a été simplifiée au maximum pour vous éviter toutes démarches fastidieuses.2. Comprendre le fonctionnement d'un site webNous mettrons en place les fondations avant de continuer : comment fonctionne un site web et comment interagissent les divers composants, comment fonctionnent DNS, HTTP et HTTPS.3. Comprendre la récupération d'informations et s'en protégerUne étape trop souvent oubliée qui permet à un attaquant d'en apprendre beaucoup sur votre site web et sur votre organisation. Nous passerons en revue divers services et outils permettant à des attaquants de découvrir de précieuses informations sur vos produits et ressources. Vous saurez les utiliser sur vos sites avant qu'on ne le fasse contre vous et afin de corriger les problèmes en amont.4. Comprendre l'injection SQL et s'en protégerNous passerons longuement en revue la faille web la plus populaire du moment. Vous découvrirez différentes façons de l'exploiter et comprendrez l'importance de non seulement vous en protéger mais en plus de bien savoir le faire.5. Injection SQL avancéeNous donnerons davantage d'exemples et nous expliquerons pourquoi les concepts de sécurité doivent bien être maîtrisés pour offrir une sécurité efficace et complète.6. Comprendre les problèmes d'authentification et de sessionLes vols de sessions, la faille CSRF (Cross site request forgery) et les bruteforces sont au programme de cette section. Vous obtiendrez des démonstrations de ces problèmes de sécurité ainsi que les moyens de vous en prémunir.7. Comprendre les problèmes d'Inclusion de fichiersLes failles LFI (Local File Inclusion) et RFI (Remote File Inclusion) aussi appelées "Faille Include" seront étudiées. Vous découvrirez que ce n'est pas parce qu'une faille n'est pas très connue qu'elle n'est pas très dangereuse…8. Comprendre et éviter les Mauvaises configurations de sécuritéDans cette section, nous allons regrouper les soucis courants liés à des mauvaises configurations de sécurité : la faille file upload permettant à un pirate d'uploader des fichiers arbitraires sur un serveur, le clickjacking, l'injection de commandes et le déni de service.9. Comprendre et éviter la faille XSS (Cross-site scripting)Probablement l'une des failles les plus connues qui permet à un attaquant d'injecter du script arbitraire dans des sites web vulnérables. Vous découvrirez les différentes possibilités d'exploitation et les contre-mesures.10. Utilisation de composants vulnérables et scans automatisésIl s'agit d'une section très importante dans laquelle on insistera sur la faille humaine qui rend toute notre infrastructure vulnérable. Démonstration avec un plugin vulnérable et un thème backdooré sous Wordpress. Avec bien entendu des conseils de sécurité spécifiques à WordPress.Nous passerons à l'exécution d'outils automatisés afin d'épauler le hacker éthique dans sa tâche de sécurisation de sites web.14. ConclusionConclusion de ce cours et derniers conseils.
Le cours s'adresse aux débutants et initiés en priorité. Vous saurez à la fin de chaque session comment détecter et corriger concrètement les diverses vulnérabilités. Vous aurez également un quiz de fin de section et diverses ressources additionnelles pour compléter les vidéos. Note : il est recommandé de suivre le cours "Hacking éthique : le cours complet" avant de suivre celui-ci car il fait simplement suite aux explications données. Ce que vous saurez faire à la fin de ce cours :• Comprendre et savoir détecter les failles web• Comprendre comment corriger les problèmes de sécurité des applications web• Comprendre le fonctionnement d'un site web• Comprendre comment mettre en place un environnement de test volontairement faillible• Et bien d'autres… À propos :Cyberini est un centre de formation spécialisé en hacking éthique créé en 2017 et noté 4,6/5 sur le thème "Qualité des cours" d'après un sondage Typeform auprès de 100 étudiants entre mars et décembre 2020.Michel KARTNER est le fondateur de Cyberini.Formateur cybersécurité indépendant depuis 2013, il détient un Master en réseaux informatiques et systèmes embarqués.Il a été consultant cybersécurité junior dans une grande entreprise internationale où il travaillait à la fois sur des projets clients et des projets internes.Fortes de + de 40 000 étudiants, les formations Cyberini sont appréciées pour leur côté pratique et directement utilisable au quotidien et/ou dans le cadre professionnel. Le support technique est inclut par défaut, sans frais supplémentaires, ainsi que toutes les mises à jour.“Michel n’est pas un pirate, c’est un hacker éthique qui aide les internautes à se protéger.”— Complément d’enquête émission dédiée aux écoutes téléphoniques – FRANCE 2NOTES IMPORTANTES: - Les systèmes, méthodologies et programmes cités dans ce cours sont utilisés à but éducatif et préventif uniquement, et dans le cadre d'une utilisation à titre privé. Toutes les autorisations ont été reçues au préalable et toutes les précautions nécessaires ont été mises en place pour assurer un apprentissage légal et sans risque pour autrui. Cependant, Il VOUS incombe de vérifier toutes les lois applicables à votre situation et toutes les règles ou contrats en vigueur, notamment avec des prestataires/hébergeurs utilisés. En rejoignant ce cours, vous vous déclarez ainsi seul(e) responsable de vos actions, et aucune responsabilité de la part de l'instructeur ne sera engagée quant à la mauvaise utilisation du contenu enseigné. En d'autres termes, ce cours n'est pas destiné aux apprentis PIRATES informatiques, qui n'auront pas ce qu'ils cherchent et qui seront écartés du cours s'ils contreviennent à cette ligne de conduite. - Ce cours n'est affilié à aucun autre cours sur le Hacking dont je ne suis pas l'auteur (Cyberini/Michel Kartner). Attention au contenu recopié ou très similaire dont je ne pourrai fournir aucune approbation ni support.Un cours by Cyberini (Michel Kartner).

Overview

Section 1: Mise en place de notre environnement de test

Lecture 1 Pourquoi se mettre dans la peau d'un pirate ?

Lecture 2 Pourquoi sécuriser son site ?

Lecture 3 Installer Virtualbox et aperçu du Lab

Lecture 4 Installer Kali Linux en tant que machine virtuelle (màj 2020)

Lecture 5 Installer Kali Linux sous macOS

Lecture 6 Agrandir la taille de fenêtre (Additions invité)

Lecture 7 CHECK LIST ANTI ERREURS

Lecture 8 Résolution d'erreurs avec Kali et Virtualbox

Lecture 9 Installer Metasploitable en tant que machine cible

Lecture 10 Installer Windows 10 en tant que machine cible

Lecture 11 Connecter les machines entre elles

Lecture 12 Installation de XAMPP et Mutillidae 2

Lecture 13 Si vous rencontrez une erreur avec Mutillidae 2

Section 2: Comprendre le fonctionnement d'un site web

Lecture 14 AU SUJET DES VERSIONS DE KALI

Lecture 15 Comprendre l'architecture web

Lecture 16 Comprendre le fonctionnement de DNS jusqu'au résolveur

Lecture 17 Comprendre le fonctionnement de DNS après le résolveur

Lecture 18 Faire un exemple pratique avec DIG

Lecture 19 Comprendre le fonctionnement d'HTTP

Lecture 20 Comprendre le fonctionnement d'HTTPS

Lecture 21 Les types de vulnérabilités web (référentiel OWASP top 10)

Lecture 22 Note importante avant de continuer

Section 3: La récupération d'informations

Lecture 23 Rechercher (et masquer) les informations WHOIS

Lecture 24 Faire une recherche WHOIS inversée

Lecture 25 Découvrir les technologies utilisées sur un site web avec BuiltWith

Lecture 26 Remonter dans l'historique d'un site web

Lecture 27 Rechercher des informations via DNS

Lecture 28 Maitriser le Google Hacking

Lecture 29 Utiliser Recon-ng pour le reconnaissance web

Lecture 30 Utiliser Maltego pour le reconnaissance web

Section 4: Comprendre l'injection SQL et s'en protéger

Lecture 31 Qu'est-ce que SQL ?

Lecture 32 Utiliser MySQL en ligne de commande sous Metasploitable

Lecture 33 Qu'est-ce que l'injection SQL ?

Lecture 34 Injections SQL et Dorks

Lecture 35 Injection SQL dans un champ password sous Metasploitable

Lecture 36 Injection SQL intermédiaire sous Metasploitable

Lecture 37 Exemple de sécurité contre la faille SQL

Lecture 38 Exploitation avec l'injection SQL

Lecture 39 Exploitation avec l'Injection SQL à l'aveugle

Section 5: Injection SQL avancée

Lecture 40 Contourner les filtres avec les caractères d'échappement

Lecture 41 Contourner les filtres avec l'encodage

Lecture 42 Lire des fichiers avec l'injection SQL

Lecture 43 Se protéger concrètement contre l'injection SQL

Lecture 44 Comprendre le fichier PHP.ini

Section 6: Problèmes d'authentification et de session

Lecture 45 Bruteforce de DVWA avec Hydra

Lecture 46 Comprendre les Vols de session, et contre-mesures

Lecture 47 Comprendre le Vol de session via le réseau et contre-mesures

Lecture 48 Comprendre la faille CSRF (Cross-site request forgery)

Lecture 49 Se protéger contre la faille CSRF

Lecture 50 Enumération des utilisateurs avec Burp Suite (Kali 64 bits uniquement)

Section 7: Inclusion de fichiers

Lecture 51 Inclusion de fichier via les Entités XML Externes

Lecture 52 Inclusion de fichier via la faille Include locale

Lecture 53 Shell PHP & Backdoor avec la faille RFI (Remote File Inclusion)

Lecture 54 Se prémunir contre les failles include

Section 8: Mauvaises configurations de sécurité

Lecture 55 Maitriser le Directory Browsing

Lecture 56 Comprendre et éviter la faille Upload

Lecture 57 Faille File Upload Avancée et sécurisation

Lecture 58 Comprendre et se défendre contre le ClickJacking

Lecture 59 Détecter l'Injection de commandes & les Dénis de service

Section 9: Comprendre et éviter la Faille XSS (Cross-site Scripting)

Lecture 60 Comprendre la Faille XSS Réfléchie

Lecture 61 Installation du site vulnérable sous la VM Windows

Lecture 62 Installation et utilisation de Beef (Mise à jour)

Lecture 63 Faille XSS Stockée et exploitation avec Beef XSS Framework

Lecture 64 Faille XSS basée sur le DOM

Lecture 65 Faille XSS via les paramètres GET et POST

Lecture 66 Faille XSS via les entêtes HTTP

Lecture 67 Se protéger contre la faille XSS

Section 10: Eviter l'utilisation de composants vulnérables et scans automatisés

Lecture 68 Plugin Wordpress vulnérable

Lecture 69 Thème Wordpress et Backdoor

Lecture 70 Conseils de sécurité sous Wordpress

Lecture 71 Scan du site web avec Owasp Zap

Lecture 72 Scan du site web avec WPScan

Lecture 73 Scan du site web avec Nikto

Section 11: Conclusion

Lecture 74 Conclusion de ce cours et derniers conseils

Lecture 75 SESSION BONUS : Obtenez votre certification en cybersécurité

Les (futurs) webmasters ou développeurs web.,Les étudiants en (sécurité) informatique.,Les propriétaires de petites entreprises.,Les personnes souhaitant se mettre à jour dans ce milieu.,Les personnes souhaitant se lancer sur le web.