Test d'intrusion

  • Lieu : AMOSSYS / Rennes
  • Durée : 3 jours
  • Niveau : Initiation
  • Ref. PENTEST-INI

Public concerné

auditeur interne, auditeur chez un prestataire d'audit, administrateur système et réseau, ...

Pré-requis

Connaissances en architecture des OS (environnements Windows et/ou Linux)

Connaissances des protocoles réseau TCP/IP

Connaissances en web

Objectif

Acquérir et maitriser les bases du test d'intrusion dans les environnements Windows, Linux et web.

Description

  • Le test d'intrusion consiste à tester la sécurité d'un système/d'une application à un instant T afin de mettre techniquement en valeur les écarts de sécurité.
  • Cette formation permettra d'acquérir les bases du test d'intrusion, tels que les outils nécessaires à sa réalisation ainsi que la methodologie à appliquer durant ce type de prestation.
  • Chaque module de cette formation comprend des travaux pratiques impliquant une phase offensive, ainsi qu'une phase défensive afin de pouvoir adresser la problématique dans son ensemble (exploitation sur la phase attaque et recommandations de protection en défense).
  • L'environnement de TP s'appuie sur la plateforme Cyber Range d'Airbus, permettant de réaliser les TPs dans un environnement SI complet et représentatif.

Programme

  • Partie 1 - Introduction aux tests d'intrusion
    • Les menaces
      • Les différents types d'audit
        • Aspects réglementaires
          • Le test d'intrusion
            • Méthodologie du test d'intrusion
            • Partie 2 - Test d'intrusion web
              • Rappels techniques
                • Vulnérabilités communes
                  • TOP10 OWASP
                  • Injection SQL
                  • Injection XSS
                  • Injection XXE
                  • ...
                • Outillage
                  • Dirb / Dirsearch / wfuzz / Gobuster
                  • sqlmap
                  • Burp Suite
                  • ...
                • Travaux Pratiques
                • Partie 3 - Test d'intrusion en environnement Linux
                  • Rappels techniques
                    • Vulnérabilités communes
                      • Sudo
                      • Cron
                      • DirtyCow
                      • ...
                    • Outillage
                      • LinEnum / PEASS
                      • GTFOBINS
                      • PSpy
                      • ...
                    • Travaux Pratiques
                    • Partie 4 - Test d'intrusion en environnement Windows
                      • Rappels techniques
                        • Outillage
                          • Impacket
                          • Mimikatz
                          • Metasploit
                          • ...
                        • Travaux Pratiques
                        • Partie 5 - Test d'intrusion Active Directory
                          • Rappels techniques
                            • Vulnérabilités communes
                              • Kerberoast
                              • DCSync
                              • Silver & Golden Ticket
                              • ...
                            • Outillage
                              • BloodHound
                              • CrackMapExec
                              • Hashcat
                              • ...
                            • Travaux Pratiques