Objectif
Acquérir et maitriser les bases du test d'intrusion dans les environnements Windows, Linux et web.
Description
- Le test d'intrusion consiste à tester la sécurité d'un système/d'une application à un instant T afin de mettre techniquement en valeur les écarts de sécurité.
- Cette formation permettra d'acquérir les bases du test d'intrusion, tels que les outils nécessaires à sa réalisation ainsi que la methodologie à appliquer durant ce type de prestation.
- Chaque module de cette formation comprend des travaux pratiques impliquant une phase offensive, ainsi qu'une phase défensive afin de pouvoir adresser la problématique dans son ensemble (exploitation sur la phase attaque et recommandations de protection en défense).
- L'environnement de TP s'appuie sur la plateforme Cyber Range d'Airbus, permettant de réaliser les TPs dans un environnement SI complet et représentatif.
Programme
- Partie 1 - Introduction aux tests d'intrusion
- Les menaces
- Les différents types d'audit
- Aspects réglementaires
- Le test d'intrusion
- Méthodologie du test d'intrusion
- Les menaces
- Partie 2 - Test d'intrusion web
- Rappels techniques
- Vulnérabilités communes
- TOP10 OWASP
- Injection SQL
- Injection XSS
- Injection XXE
- ...
- Outillage
- Dirb / Dirsearch / wfuzz / Gobuster
- sqlmap
- Burp Suite
- ...
- Travaux Pratiques
- Rappels techniques
- Partie 3 - Test d'intrusion en environnement Linux
- Rappels techniques
- Vulnérabilités communes
- Sudo
- Cron
- DirtyCow
- ...
- Outillage
- LinEnum / PEASS
- GTFOBINS
- PSpy
- ...
- Travaux Pratiques
- Rappels techniques
- Partie 4 - Test d'intrusion en environnement Windows
- Rappels techniques
- Outillage
- Impacket
- Mimikatz
- Metasploit
- ...
- Travaux Pratiques
- Rappels techniques
- Partie 5 - Test d'intrusion Active Directory
- Rappels techniques
- Vulnérabilités communes
- Kerberoast
- DCSync
- Silver & Golden Ticket
- ...
- Outillage
- BloodHound
- CrackMapExec
- Hashcat
- ...
- Travaux Pratiques
- Rappels techniques