Vous souhaitez discuter avec nous à propos de votre projet de formation ?
Vous voulez plus d'information sur une formation ou notre fonctionnement ?
Rappel Email
Dates
Nous pouvons organiser des sessions à d'autres dates ou dans d'autres villes (Bordeaux, Lille, Lyon, Marseille, Montpellier, Nantes, Nice, Paris, Strasbourg, Toulouse...)
Durant cette formation particulièrement ludique, vous apprendrez à penser comme un hacker et à attaquer vos applications Web à l’aide d’outils divers. Vous saurez alors tester la robustesse de vos applications Web et leur apporter les éventuels correctifs nécessaires.
Cette formation Hacking et sécurité des applications Web s’adresse à des développeurs et développeuses Web (frontend, backend, ou full-stack) souhaitant monter en compétence sur les thématiques liées à la sécurité applicative, en comprenant comment les adversaires compromettent les applications Web et comment se prémunir des attaques visant ces applications.
Ces dernières années, les applications Web sont devenues les pièces maîtresses des systèmes d’information. Elles sont populaires et incontournables, aussi bien auprès des utilisateurs/utilisatrices que de l’organisation qui les déploie.
C’est pour cela que, même si le paysage des menaces évolue au gré des usages et des évolutions technologiques, les applications Web restent invariablement l’un, si ce n’est le plus important, des vecteurs d’attaques dirigées contre un système d’information. Or, la sécurisation de ces applications Web est souvent reléguée, soit par manque de connaissances spécifiques soit sous la pression du rythme de leur développement, quand elle ne passe pas tout simplement à la trappe !
Pour votre entreprise, les conséquences d’une attaque se traduisent directement en vol d’information, perte d’actifs, interruption d’activité, perte de clients ou de crédibilité, lourdes amendes, etc. Les coûts associés peuvent alors exploser, au point de mettre l’organisation en péril !
A l’issue de cette formation Hacking et sécurité des applications Web de trois jours, mêlant attaque et défense, ponctuée de nombreux exercices pratiques sur plusieurs applications volontairement vulnérables, vous aurez appris à tester et à renforcer la sécurité de vos applications Web. Vous garderez l’accès à l'intégralité du support de la formation (slides).
Envie d'aller plus loin ?
Pour améliorer vos connaissances des processus à l'œuvre dans la détection et l'analyse d'attaques informatiques, jetez un œil à la formation Réponse à un incident !
Les objectifs
- Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre une application vulnérable
- Apprendre à détecter des vulnérabilités en inspectant le code et/ou en observant le comportement d’une application Web
- Installer, configurer et utiliser des outils permettant d’analyser efficacement vos applications
Pré-requis
- Expérience en programmation, idéalement en développement Web. Une certaine familiarité avec les langages HTML, JavaScript, et SQL, ainsi qu’avec le Document Object Model (DOM) est recommandée afin de profiter pleinement de la formation.
- Des droits d'administration suffisants pour installer Burp Suite Community Edition, outil nécessaire à la réalisation de nombreux travaux pratiques
- Ordinateur portable à apporter
Le programme de la formation Hacking et sécurité des applications web
Jour 1 : mise en jambes
Le paysage de l'insécurité Web
- Architecture typique d'une application Web
- Open Web Application Security Project (OWASP)
- Le top des vulnérabilités selon OWASP
- Common Weakness Enumerations (CWEs)
- Common Vulnerabilities & Exposures (CVEs)
- Common Vulnerability Scoring System (CVSSv3.1)
- Adversaires externes et internes
- Profils des adversaires
- Les différentes étapes d'une attaque
- Un tour d'horizon de l'arsenal des adversaires
Mises en pratique :
- Reconnaissance à l'aide de Google dorks
- Découverte de l'outil Shodan
La place de la sécurité dans le cycle de développement
- L'importance de l'inventaire
- Shadow IT
- Biais envers la production au détriment de la sécurité
- (In)compatibilité avec les approches dites "Agile" ?
- Le mouvement DevSecOps
- L'importance des tests
- Revues de code
- Analyse statique
- Analyse dynamique
Mise en pratique :
- Analyse statique de code open source grâce avec CodeQL
Aide externe pour la sécurité
- Audits de sécurité
- Programme de prime au bug (bug bounty)
- Politique de divulgation responsable
- Différents niveaux de divulgation
Mises en pratique :
- Etude de programmes de bug bounty sur la plateforme HackerOne
- Etude de politique de divulgation responsable
Le protocole HTTP
- HyperText Transport Protocol : le protocol central du Web
- Requêtes et réponses HTTP
- Sémantique des différentes méthodes HTTP standard
- Codes HTTP
- HTTPS
- Passage en revue des Dev Tools de Chrome
- Introduction à l'outil Burp Suite
Mise en pratique :
- Rejeu et injection de requêtes HTTP modifiées
URLs
- Anatomie d'une URL
- Des disparités inquiétantes entre parseurs
- Ignorez les subtilités du format URL à vos risques et périls !
- Les failles de type open redirect
Mises en pratique :
- Contournement d'un contrôle de sécurité basé sur une expression régulière censée accepter seulement un ensemble précis d'URLs
- Découverte et exploitation d'open redirects
Exposition d'informations sensibles
- Identifiants numériques séquentiels
- Messages d'erreurs verbeux
- Directory listing
- Capture de données sensibles en clair par les logs
- Secrets stockés côté client
- Exposition excessive de données par les APIs
- Dépôts publics de développeurs
- Historique Git d'un projet open source contenant des secrets
- Dossier
.gitaccessible publiquement en ligne
Mises en pratique :
- Déductions intéressantes à propos d'un système qui utilise des identifiants numériques séquentiels
- Découverte d'informations sur l'implémentation d'un backend à partir de messages d'erreurs verbeux
- Reconnaissance en ligne de système ayant laissé le directory listing activé
- Découvertes de secrets stockés côté client grâce à Burp Suite
- Analyse d'une API exposant des données sensibles
- Découverte de secrets laissés sur des dépôts GitHub public
- Expédition archéologie dans l'historique de dépôts Git
- Découverte à l'aide de Google dorks de dossiers .git exposés au monde entier
Jour 2 : failles liées aux entrées utilisateur/utilisatrice
Validation des entrées utilisateur/utilisatrice
- Pourquoi la méfiance reste de mise
- Validation côté client ou côté serveur ?
- Les failles de type mass assignment
- Les failles de type HTTP parameter pollution
Mises en pratique :
- Élévation de privilège grâce à l'exploitation d'une faille de type mass assignment
- Etude de cas d'une faille de type HTTP parameter pollution
Cross-site scripting (XSS)
- Le concept d’origine Web
- La Same-Origin Policy
- Exécution arbitraire de code JavaScript côté client
- Différents contextes d'exécution : HTML, CSS, JavaScript
- Les différentes formes de XSS
- Encodage contextuel
- Défense en profondeur avec une Content-Security Policy
Mises en pratique :
- Exploitation d'une faille XSS à travers trois points d'injection dans différents contextes
- Exploitation de failles XSS plus avancées
Injection (No)SQL
- Principe du moindre privilège
- Injection SQL
- L'outil sqlmap
- Injection NoSQL
Mises en pratique :
- Exploitation manuelle d'une faille d'injection SQL
- Exploitation automatique d'une faille d'injection SQL grâce à sqlmap
Server-side request forgery (SSRF)
- Définition
- Exploitation
- Impact
- Défenses
Mise en pratique :
- Exploitation d'une faille de type SSRF
Autres formes d'injection
- Qu'entend-t-on par "injection" ?
- OS command injection
- Code injection
Mises en pratique :
- Exploitation d'une faille de type OS command injection
- Exploitation d'une faille de type code injection
Fichiers
- Failles courantes liées aux fichiers
- Chargement (upload)
- Path traversal
- Local-File Inclusion
- Remote-File Inclusion
Mises en pratique :
- Exploitation d'une faille liée au chargement
- Exploitation d'une faille de type path traversal
- Exploitation d'une faille de type LFI
- Exploitation d'une faille de type RFI
Jour 3 : failles liées à l’authentification, l’autorisation, et à la gestion des sessions
Authentification
- Définition
- Énumération d'utilisateurs/utilisatrices
- Rate limiting
- Questions de sécurité
- Authentication à facteurs multiples
Mises en pratique :
- Énumération d'utilisateurs/utilisatrices grâce à un message d'erreur trop révélateur
- Contournement d'une mesure de rate limiting
Mots de passe
- Brefs rappels de cryptographie
- Politique de robustesse
- Mots de passe ayant fuité, haveibeenpwned
- Faciliter l'utilisation d'un gestionnaire de mots de passe
- Stockage
- Salage et hachage
- Réinitialisation de mot de passe
Mises en pratique :
- Décodage d'un mot de passe simplement encodé
- Recherche inverse des résultats d'algorithmes de hachage faibles
- Craquage de valeurs de hachage grâce à l'outil John the Ripper
- Recherche sur de mots de passe ayant fuité sur haveibeenpwned et leakcheck
- Consultation de plaintextoffenders
Cookies
- Les cookies en bref
- L'attribut
Domain - L'attribut
HttpOnly - L'attribut
Secure - Le concept technique de site
- L'attribut
SameSite - L'attribut
Path - Préfixes de cookie
Mise en pratique :
- Étude de l'effet des différents attributs de cookie
Cross-site request forgery (CSRF)
- Définition
- Exploitation
- Impact
- Défenses
Mise en pratique :
- Exploitation d'une faille de type CSRF
Clickjacking (CSRF)
- Définition
- Exploitation
- Impact
- Défenses
Mise en pratique :
- Exploitation d'une faille de type clickjacking
Autorisation / contrôle d'accès
- Distinction entre authentification et autorisation
- Rôles and permissions
- Insecure direct object reference (IDOR)
- Missing function-level access control
Mise en pratique :
- Exploitation d'une faille de type IDOR
Cross-Origin Resource Sharing (CORS)
- Brefs rappels sur la Same-Origin Policy
- Alternatives dépassées au CORS
- Le protocol CORS
- Mauvaises configurations du CORS
Mise en pratique :
- Exfiltration de données rendue possible par une mauvaise configuration du CORS
Discussion ouverte
En fonction du temps restant, les stagiaires pourront exploiter d'autres failles sur les applications volontairement vulnérables mises à leur disposition.
Le(s) formateur(s)
Julien CRETEL
Julien est à la fois développeur, chercheur en sécurité Web et formateur.
Son langage de prédilection est le Go, sujet sur lequel il a formé des centaines de professionnel·le·s depuis 2019. Il lui arrive aussi d'intervenir sur Go à l'occasion de conférences spécialisées, telles que GopherCon 2023 Europe.
Julien est actif dans le domaine de la sécurité Web. En marge des tests de sécurité (tests d'intrusion, évaluation de vulnérabilité, audit de codes, etc.) que ses clients lui confient et de ses activités de recherche indépendante, Julien forme régulièrement des professionnel·le·s sur la sécurité Web. Il s'adonne aussi, de temps à autre, à la chasse au bogues de sécurité (bug bounty hunting).
Julien partage ses réflexions et sa recherche sur son blog, qui est, sans surprises, principalement dédié au langage Go et à la sécurité Web.
Gwendal LE COGUIC
Gwendal est un développeur de longue date, il a commencé la programmation web en 97 et maitrise bien les standards du milieu.
Détenteur de la certification OSCP, il s'est reconverti dans la sécurité il y a quelques années afin d'opérer en tant que bug bounty hunter. Depuis il a codé de nombreux outils liés à la sécurité en PHP, Go, Python et Bash disponibles sur son Github.
Aujourd'hui Gwendal a pour ambition de partager sa passion en aidant les entreprises mais aussi les indépendants à mieux protéger leurs systèmes.
A propos de Human Coders
Human Coders c'est un centre de formation pour développeurs avec :
- une certification Qualiopi, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
- de nombreux clients qui nous font confiance depuis des années
- un manifeste pour garantir des formations à taille humaine, des formateurs passionnés, de véritables workshops...
- 103 formations au catalogue, 1464 sessions depuis nos débuts en 2012 avec une moyenne de satisfaction de 4,6/5
- la possibilité de vous proposer un accompagnement personnalisé ou du conseil après la formation
50 témoignages
Julien explique de façon très claire et pédagogue les principaux concepts et failles de sécurité des applications web. Dans un domaine où il e...
Julien explique de façon très claire et pédagogue les principaux concepts et failles de sécurité des applications web. Dans un domaine où il est difficile d'être exhaustif, surtout en 3 jours, il arrive à donner les clés pour qu'on puisse continuer l'exploration de façon autonome avec une bonne compréhension des bases. Les nombreux exercices pratiques aident à bien comprendre les mécanismes d'attaque et de défense.
Voir plus
Marie Destandau - Pass Culture - 06.12.2023
Une formation qui aborde la sécurité du côté offensif pour être plus à même de déterminer les mesures à prendre du côté défensif. Très enrichi...
Une formation qui aborde la sécurité du côté offensif pour être plus à même de déterminer les mesures à prendre du côté défensif. Très enrichissant.
Voir plus
Benjamin Gross - DATA PROJEKT - 23.06.2023
Excellente formation, même en ayant quelques notions de sécurité, on apprend quand même beaucoup !
Excellente formation, même en ayant quelques notions de sécurité, on apprend quand même beaucoup !
Éloi Antz - DATA PROJEKT - 23.06.2023
Formation complète et passionnante. Les exercices pratiques de hacking sont un vrai plus pour comprendre les failles web et s'en protéger. Je ...
Formation complète et passionnante. Les exercices pratiques de hacking sont un vrai plus pour comprendre les failles web et s'en protéger. Je recommande !
Voir plus
David HAMELIN - PHENIX AVIATION - 23.06.2023
La formation est très intéressante et permet de mettre en pratique les choses que nous apprenons au fur et à mesure de la formation. Je la con...
La formation est très intéressante et permet de mettre en pratique les choses que nous apprenons au fur et à mesure de la formation. Je la conseillerai à n'importe qui voulant sécuriser son application web.
Voir plus
Nicolas DEMONTOUX - 1D345 - 23.06.2023
Formation très dynamique, avec une approche intéressante (sans doute au vu du sujet qui est atypique).
Formation très dynamique, avec une approche intéressante (sans doute au vu du sujet qui est atypique).
Olivier BOCQUET - Mazarine Digital - 02.02.2023
C'était super, tout à fait adapté à nos besoins, bien rythmé entre théorie et pratique. C'était trois journées bien utiles.
C'était super, tout à fait adapté à nos besoins, bien rythmé entre théorie et pratique. C'était trois journées bien utiles.
Pierre BONNEFOI - Mazarine Digital - 02.02.2023
Très bonne formation. Le contenu et les TP sont réussis. Le formateur prend le temps d'expliquer les différentes vulnérabilités.
Très bonne formation. Le contenu et les TP sont réussis. Le formateur prend le temps d'expliquer les différentes vulnérabilités.
Julien BUNEL - Placement direct - 27.01.2023
Formation très interessante.
Formation très interessante.
Hélène BLANC - SAGEMCOM BROADBAND - 05.12.2022
Excellente formation, Gwendal est évidemment un expert dans son domaine mais aussi et surtout un passionné et son enthousiasme est communicati...
Excellente formation, Gwendal est évidemment un expert dans son domaine mais aussi et surtout un passionné et son enthousiasme est communicatif ! Un très bon moyen de faire un tour d'horizon des différentes menaces pour avoir en tête les protections à mettre en place dans son code.
Voir plus
Marie BAUDLOT - Marie BAUDLOT - 05.12.2022
Approche passionnée du formateur qui a grandement contribué à la qualité de la formation. J'ai appris beaucoup de choses en très peu de temps....
Approche passionnée du formateur qui a grandement contribué à la qualité de la formation. J'ai appris beaucoup de choses en très peu de temps. Merci.
Voir plus
Jordi GRIMAUD - Tysoft - 26.11.2022
Top formation avec Julien.
Top formation avec Julien.
Rémi DE SAIGNES - CCLD SOLUTIONS DIGITALES - 24.11.2022
Super formation
Super formation
Kenni Bertucat - Tysoft - 17.10.2022
top
top
Fabrice De Stéfanis - Tysoft - 16.10.2022
En tant que RSSI, je n'étais pas étranger aux différentes techniques utilisées par les attaquants, mais je n'avais pas forcément eu l'occasion...
En tant que RSSI, je n'étais pas étranger aux différentes techniques utilisées par les attaquants, mais je n'avais pas forcément eu l'occasion de pratiquer concrètement ni d'avoir l'explication du fonctionnement des standards, de comment ils pouvaient être détournés et de comment les sécuriser, n'ayant pas d'expérience en développement Web. C'est maintenant chose faite.
Voir plus
Christophe Pugnoud - Tysoft - 16.10.2022
C'est une belle expérience et l'ambiance générale est bien
C'est une belle expérience et l'ambiance générale est bien
JEBRIL Samiha - Université Saint Louis - Bruxelles - 12.10.2022
La formation correspond bien au sommaire présenté en amont.
La formation correspond bien au sommaire présenté en amont.
Bertrand ORCIBAL - ONERA - 20.09.2022
Formation qui donne un panorama pertinent sur les questions de sécurité des applications web. Les exercices permettent de comprendre les diffé...
Formation qui donne un panorama pertinent sur les questions de sécurité des applications web. Les exercices permettent de comprendre les différents types de failles et leur impact. L'utilisation de quelques outils (logiciels, scripts, sites) permet également de baliser un catalogue qui, d'un premier abord, est beaucoup trop vaste (Kali tools par exemple). Equilibre entre théorie, pratique, illustrations...
Voir plus
Eric FABRE - ONERA - 28.07.2022
Cette formation sur la sécurité des applications web a été pédagogique. J'ai eu le luxe d'être en très petit comité (2 formateurs et 2 partici...
Cette formation sur la sécurité des applications web a été pédagogique. J'ai eu le luxe d'être en très petit comité (2 formateurs et 2 participants) pendant 3 jours. L'interface bWAPP est très bien faite pour mettre en pratique l'exploitation de failles de sécurité et la théorie était bien expliquée.
Voir plus
Melissa DUPUIS - Preligens - 14.06.2022
Formation très intéressante !
Formation très intéressante !
BENOIT MAIGRET - AGIR POUR L'ENVIRONNEMENT - 14.06.2022
Très bonne formation pour bien comprendre les mécaniques du hacking et de la sécurité des applications web. Le formateur est à l'écoute et le ...
Très bonne formation pour bien comprendre les mécaniques du hacking et de la sécurité des applications web. Le formateur est à l'écoute et le programme bien structuré. De nombreuses informations utiles pour améliorer la sécurité des applications
Voir plus
Lucas SCHILLING - OPTEAMUM
Très bonne formation pour entrer dans le sujet
Très bonne formation pour entrer dans le sujet
Jean-François VALLET - OSAXIS
Cette formation contribue à améliorer notre culture générale sur la sécurité et va nous conduire à améliorer nos pratiques
Cette formation contribue à améliorer notre culture générale sur la sécurité et va nous conduire à améliorer nos pratiques
Thomas DESVENAIN - Zeenea
La formation est bien animé et comporte une alternance de partage d'expérience et de travail pratique, la diffusion d'un support sera un plus.
La formation est bien animé et comporte une alternance de partage d'expérience et de travail pratique, la diffusion d'un support sera un plus.
Jérôme CAL - Infomil
Cette formation m'a fait découvrir tout un pan de l'informatique dont je minimisais l'importance. L'approche par des travaux pratiques perme...
Cette formation m'a fait découvrir tout un pan de l'informatique dont je minimisais l'importance. L'approche par des travaux pratiques permet d'assimiler plus facilement les différents concepts et de mieux comprendre par la suite l'importance des bonnes pratiques et outils à utiliser afin de mieux se prémunir.
Voir plus
Benjamin ROUX - Infomil
Très bien
Très bien
Jean-Michel BERNOUIN - Infomil
Formation parfaite ! Elle aurait été encore mieux en "physique", mais le contexte actuel ne le permettait pas. Un grand merci pour cette forma...
Formation parfaite ! Elle aurait été encore mieux en "physique", mais le contexte actuel ne le permettait pas. Un grand merci pour cette formation de qualité.
Voir plus
Maxime LEGRAND - Infomil
Très bonne formation !
Très bonne formation !
Thibault DIGONNET - Infomil
Formation très intéressante qui sensibilise vraiment aux failles du développement WEB.
Formation très intéressante qui sensibilise vraiment aux failles du développement WEB.
Thierry DEVES - Infomil
Formation très intéressante qui sensibilise bien à la sécurité. Souvent on met l'accent sur la sécurité sans pour autant donner d'explication...
Formation très intéressante qui sensibilise bien à la sécurité. Souvent on met l'accent sur la sécurité sans pour autant donner d'explications tangibles. Là, on comprend bien le risque et l'enjeu qui se joue. Elle nécessite des prérequis de connaissance importants. Très bonne pédagogie du formateur.
Voir plus
Pierre CHAUBET - Infomil
Très bien
Très bien
Cécile NOIRAT - Infomil
C'est une bonne formation, mais en fonction des connaissances qu'on a déjà les TP seront plus abordables pour certaines personnes. Il vaut mie...
C'est une bonne formation, mais en fonction des connaissances qu'on a déjà les TP seront plus abordables pour certaines personnes. Il vaut mieux avoir un petit niveau en développement sinon c'est la noyade assurée. Personnellement, j'ai trouvé la formation super interessante mais je réalise qu'il y a des domaines ou je n'avais pas les compétences nécessaires pour bien assimiler certaines choses.
Voir plus
Florian BOUCLY - La Compagnie Fiduciaire
Contenu qualitatif, formateur très pédagogue et compétent.
Contenu qualitatif, formateur très pédagogue et compétent.
Kevin Foliot - Infomil
Fred est un bon orateur, on bon pédagogue et très certainement un bon professionnel. La formation était homogène et bien répartie. Les cas d'...
Fred est un bon orateur, on bon pédagogue et très certainement un bon professionnel. La formation était homogène et bien répartie. Les cas d'exemples concrets. Bravo
Voir plus
Cyril Leclercq - Infomil
Formation très instructive, voir la sécurité de façon offensive est une expérience enrichissante !
Formation très instructive, voir la sécurité de façon offensive est une expérience enrichissante !
Gwendal DUGUE - Microdon SAS
Super formation, et super formateur :) Malgré le contexte qui a transformé notre formation présentielle en full distance, j'ai vraiment été p...
Super formation, et super formateur :) Malgré le contexte qui a transformé notre formation présentielle en full distance, j'ai vraiment été plongé dans le contenu et les TP de la formation. Retour d'xp très intéressants aussi.
Voir plus
Matthieu DELMAS - Microdon SAS
Bonne formation pour y voir un peu plus clair dans l'univers des failles de sécurités.
Bonne formation pour y voir un peu plus clair dans l'univers des failles de sécurités.
Nithyan KUGATHASAN - CNCC SERVICES
J'ai suivi cette formation en n'ayant que de très minces connaissances en sécurité et je l'ai trouvée claire et très accessible.
J'ai suivi cette formation en n'ayant que de très minces connaissances en sécurité et je l'ai trouvée claire et très accessible.
Luana LORTHIOS - La Compagnie Fiduciaire
Très bon panorama de l'environnement de la sécurité des applications, bonnes introduction aux méthodologies, ponctuée s de travaux pratiques. ...
Très bon panorama de l'environnement de la sécurité des applications, bonnes introduction aux méthodologies, ponctuée s de travaux pratiques. Je recommande !
Voir plus
Colin FAY - Think R
Formateur passionné et pédagogue. Merci beaucoup!
Formateur passionné et pédagogue. Merci beaucoup!
Michael LADOWICHX - Moody's Analytics
Bonne formation, avec des exercices pratiques et des exemples pour illustrer la théories
Bonne formation, avec des exercices pratiques et des exemples pour illustrer la théories
Frédéric GERMONNEAU - Moody's Analytics
Un formateur excellent sur un sujet passionnant. Beaucoup d'expertise. Contenu riche. Je recommande vivement.
Un formateur excellent sur un sujet passionnant. Beaucoup d'expertise. Contenu riche. Je recommande vivement.
Emmanuel BLANC - Nasco France
Excellente formation et formateur. Contenu pertinent et à la pointe, bien orienté développeurs et développements. Echanges réguliers durant la...
Excellente formation et formateur. Contenu pertinent et à la pointe, bien orienté développeurs et développements. Echanges réguliers durant la formation sur des REX pertinents. Théorie et pratique parfaitement en adéquation avec les problématiques du marché d'aujourd'hui.
Voir plus
Pierre-Olivier BLOUIN - Cloud Temple
J'ai appris énormément sur le sujet lors de cette formation. De nombreuses découvertes sur les vulnérabilités du web et cela à tout niveau (du...
J'ai appris énormément sur le sujet lors de cette formation. De nombreuses découvertes sur les vulnérabilités du web et cela à tout niveau (du développement aux choix d'architectures...).
Voir plus
Mickael BERNIER - MAIF
Très interessant de se mettre à la place de l'attaquant afin d'en comprendre la méthodologie et les techniques utilisées.
Très interessant de se mettre à la place de l'attaquant afin d'en comprendre la méthodologie et les techniques utilisées.
Clément CHAVRY - MAIF
La formation est très instructive et apporte beaucoup de clés, pour introduire à une démarche de développeur des éléments de réflexion autour ...
La formation est très instructive et apporte beaucoup de clés, pour introduire à une démarche de développeur des éléments de réflexion autour de la sécurité. J'ai été très intéressé par les sujets sur Agile + Sécurité (SCRUM SDLC, etc.)
Voir plus
Remy VUONG - Davidson Consulting
Super formation ! Un intervenant très compétent et des connaissances utiles et surtout nécessaires aujourd'hui
Super formation ! Un intervenant très compétent et des connaissances utiles et surtout nécessaires aujourd'hui
Guillaume GIROUX - Davidson Consulting
Formation très intéressante. Travaux pratiques très enrichissants.
Formation très intéressante. Travaux pratiques très enrichissants.
Didier MONNIER - REED ORGANISATION
Cette formation permet de vraiment se sensibiliser sur les pratiques des hackers afin de comprendre comment ces derniers peuvent repérer les f...
Cette formation permet de vraiment se sensibiliser sur les pratiques des hackers afin de comprendre comment ces derniers peuvent repérer les failles de nos applications. Très instructif !
Voir plus
Yoann FLEGEAU - Banque Populaire Val de France
Formation très intéressante, formateur extra, disponible et clair. Nombreux cas pratiques.
Formation très intéressante, formateur extra, disponible et clair. Nombreux cas pratiques.
Benjamin HAMEL - CICD
Besoin d'aide ?
Nos forces
- Des formations à taille humaine
- Des formateurs passionnés
- Des véritables workshop
Nos clients
Durant cette formation particulièrement ludique, vous apprendrez à penser comme un hacker et à attaquer vos applications Web à l’aide d’outils divers. Vous saurez alors tester la robustesse de vos applications Web et leur apporter les éventuels correctifs nécessaires.
Cette formation Hacking et sécurité des applications Web s’adresse à des développeurs et développeuses Web (frontend, backend, ou full-stack) souhaitant monter en compétence sur les thématiques liées à la sécurité applicative, en comprenant comment les adversaires compromettent les applications Web et comment se prémunir des attaques visant ces applications.
Ces dernières années, les applications Web sont devenues les pièces maîtresses des systèmes d’information. Elles sont populaires et incontournables, aussi bien auprès des utilisateurs/utilisatrices que de l’organisation qui les déploie.
C’est pour cela que, même si le paysage des menaces évolue au gré des usages et des évolutions technologiques, les applications Web restent invariablement l’un, si ce n’est le plus important, des vecteurs d’attaques dirigées contre un système d’information. Or, la sécurisation de ces applications Web est souvent reléguée, soit par manque de connaissances spécifiques soit sous la pression du rythme de leur développement, quand elle ne passe pas tout simplement à la trappe !
Pour votre entreprise, les conséquences d’une attaque se traduisent directement en vol d’information, perte d’actifs, interruption d’activité, perte de clients ou de crédibilité, lourdes amendes, etc. Les coûts associés peuvent alors exploser, au point de mettre l’organisation en péril !
A l’issue de cette formation Hacking et sécurité des applications Web de trois jours, mêlant attaque et défense, ponctuée de nombreux exercices pratiques sur plusieurs applications volontairement vulnérables, vous aurez appris à tester et à renforcer la sécurité de vos applications Web. Vous garderez l’accès à l'intégralité du support de la formation (slides).
Envie d'aller plus loin ?
Pour améliorer vos connaissances des processus à l'œuvre dans la détection et l'analyse d'attaques informatiques, jetez un œil à la formation Réponse à un incident !
Les objectifs
- Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre une application vulnérable
- Apprendre à détecter des vulnérabilités en inspectant le code et/ou en observant le comportement d’une application Web
- Installer, configurer et utiliser des outils permettant d’analyser efficacement vos applications
Pré-requis
- Expérience en programmation, idéalement en développement Web. Une certaine familiarité avec les langages HTML, JavaScript, et SQL, ainsi qu’avec le Document Object Model (DOM) est recommandée afin de profiter pleinement de la formation.
- Des droits d'administration suffisants pour installer Burp Suite Community Edition, outil nécessaire à la réalisation de nombreux travaux pratiques
- Ordinateur portable à apporter
Le programme de la formation Hacking et sécurité des applications web
Jour 1 : mise en jambes
Le paysage de l'insécurité Web
- Architecture typique d'une application Web
- Open Web Application Security Project (OWASP)
- Le top des vulnérabilités selon OWASP
- Common Weakness Enumerations (CWEs)
- Common Vulnerabilities & Exposures (CVEs)
- Common Vulnerability Scoring System (CVSSv3.1)
- Adversaires externes et internes
- Profils des adversaires
- Les différentes étapes d'une attaque
- Un tour d'horizon de l'arsenal des adversaires
Mises en pratique :
- Reconnaissance à l'aide de Google dorks
- Découverte de l'outil Shodan
La place de la sécurité dans le cycle de développement
- L'importance de l'inventaire
- Shadow IT
- Biais envers la production au détriment de la sécurité
- (In)compatibilité avec les approches dites "Agile" ?
- Le mouvement DevSecOps
- L'importance des tests
- Revues de code
- Analyse statique
- Analyse dynamique
Mise en pratique :
- Analyse statique de code open source grâce avec CodeQL
Aide externe pour la sécurité
- Audits de sécurité
- Programme de prime au bug (bug bounty)
- Politique de divulgation responsable
- Différents niveaux de divulgation
Mises en pratique :
- Etude de programmes de bug bounty sur la plateforme HackerOne
- Etude de politique de divulgation responsable
Le protocole HTTP
- HyperText Transport Protocol : le protocol central du Web
- Requêtes et réponses HTTP
- Sémantique des différentes méthodes HTTP standard
- Codes HTTP
- HTTPS
- Passage en revue des Dev Tools de Chrome
- Introduction à l'outil Burp Suite
Mise en pratique :
- Rejeu et injection de requêtes HTTP modifiées
URLs
- Anatomie d'une URL
- Des disparités inquiétantes entre parseurs
- Ignorez les subtilités du format URL à vos risques et périls !
- Les failles de type open redirect
Mises en pratique :
- Contournement d'un contrôle de sécurité basé sur une expression régulière censée accepter seulement un ensemble précis d'URLs
- Découverte et exploitation d'open redirects
Exposition d'informations sensibles
- Identifiants numériques séquentiels
- Messages d'erreurs verbeux
- Directory listing
- Capture de données sensibles en clair par les logs
- Secrets stockés côté client
- Exposition excessive de données par les APIs
- Dépôts publics de développeurs
- Historique Git d'un projet open source contenant des secrets
- Dossier
.gitaccessible publiquement en ligne
Mises en pratique :
- Déductions intéressantes à propos d'un système qui utilise des identifiants numériques séquentiels
- Découverte d'informations sur l'implémentation d'un backend à partir de messages d'erreurs verbeux
- Reconnaissance en ligne de système ayant laissé le directory listing activé
- Découvertes de secrets stockés côté client grâce à Burp Suite
- Analyse d'une API exposant des données sensibles
- Découverte de secrets laissés sur des dépôts GitHub public
- Expédition archéologie dans l'historique de dépôts Git
- Découverte à l'aide de Google dorks de dossiers .git exposés au monde entier
Jour 2 : failles liées aux entrées utilisateur/utilisatrice
Validation des entrées utilisateur/utilisatrice
- Pourquoi la méfiance reste de mise
- Validation côté client ou côté serveur ?
- Les failles de type mass assignment
- Les failles de type HTTP parameter pollution
Mises en pratique :
- Élévation de privilège grâce à l'exploitation d'une faille de type mass assignment
- Etude de cas d'une faille de type HTTP parameter pollution
Cross-site scripting (XSS)
- Le concept d’origine Web
- La Same-Origin Policy
- Exécution arbitraire de code JavaScript côté client
- Différents contextes d'exécution : HTML, CSS, JavaScript
- Les différentes formes de XSS
- Encodage contextuel
- Défense en profondeur avec une Content-Security Policy
Mises en pratique :
- Exploitation d'une faille XSS à travers trois points d'injection dans différents contextes
- Exploitation de failles XSS plus avancées
Injection (No)SQL
- Principe du moindre privilège
- Injection SQL
- L'outil sqlmap
- Injection NoSQL
Mises en pratique :
- Exploitation manuelle d'une faille d'injection SQL
- Exploitation automatique d'une faille d'injection SQL grâce à sqlmap
Server-side request forgery (SSRF)
- Définition
- Exploitation
- Impact
- Défenses
Mise en pratique :
- Exploitation d'une faille de type SSRF
Autres formes d'injection
- Qu'entend-t-on par "injection" ?
- OS command injection
- Code injection
Mises en pratique :
- Exploitation d'une faille de type OS command injection
- Exploitation d'une faille de type code injection
Fichiers
- Failles courantes liées aux fichiers
- Chargement (upload)
- Path traversal
- Local-File Inclusion
- Remote-File Inclusion
Mises en pratique :
- Exploitation d'une faille liée au chargement
- Exploitation d'une faille de type path traversal
- Exploitation d'une faille de type LFI
- Exploitation d'une faille de type RFI
Jour 3 : failles liées à l’authentification, l’autorisation, et à la gestion des sessions
Authentification
- Définition
- Énumération d'utilisateurs/utilisatrices
- Rate limiting
- Questions de sécurité
- Authentication à facteurs multiples
Mises en pratique :
- Énumération d'utilisateurs/utilisatrices grâce à un message d'erreur trop révélateur
- Contournement d'une mesure de rate limiting
Mots de passe
- Brefs rappels de cryptographie
- Politique de robustesse
- Mots de passe ayant fuité, haveibeenpwned
- Faciliter l'utilisation d'un gestionnaire de mots de passe
- Stockage
- Salage et hachage
- Réinitialisation de mot de passe
Mises en pratique :
- Décodage d'un mot de passe simplement encodé
- Recherche inverse des résultats d'algorithmes de hachage faibles
- Craquage de valeurs de hachage grâce à l'outil John the Ripper
- Recherche sur de mots de passe ayant fuité sur haveibeenpwned et leakcheck
- Consultation de plaintextoffenders
Cookies
- Les cookies en bref
- L'attribut
Domain - L'attribut
HttpOnly - L'attribut
Secure - Le concept technique de site
- L'attribut
SameSite - L'attribut
Path - Préfixes de cookie
Mise en pratique :
- Étude de l'effet des différents attributs de cookie
Cross-site request forgery (CSRF)
- Définition
- Exploitation
- Impact
- Défenses
Mise en pratique :
- Exploitation d'une faille de type CSRF
Clickjacking (CSRF)
- Définition
- Exploitation
- Impact
- Défenses
Mise en pratique :
- Exploitation d'une faille de type clickjacking
Autorisation / contrôle d'accès
- Distinction entre authentification et autorisation
- Rôles and permissions
- Insecure direct object reference (IDOR)
- Missing function-level access control
Mise en pratique :
- Exploitation d'une faille de type IDOR
Cross-Origin Resource Sharing (CORS)
- Brefs rappels sur la Same-Origin Policy
- Alternatives dépassées au CORS
- Le protocol CORS
- Mauvaises configurations du CORS
Mise en pratique :
- Exfiltration de données rendue possible par une mauvaise configuration du CORS
Discussion ouverte
En fonction du temps restant, les stagiaires pourront exploiter d'autres failles sur les applications volontairement vulnérables mises à leur disposition.
Le(s) formateur(s)
Julien CRETEL
Julien est à la fois développeur, chercheur en sécurité Web et formateur.
Son langage de prédilection est le Go, sujet sur lequel il a formé des centaines de professionnel·le·s depuis 2019. Il lui arrive aussi d'intervenir sur Go à l'occasion de conférences spécialisées, telles que GopherCon 2023 Europe.
Julien est actif dans le domaine de la sécurité Web. En marge des tests de sécurité (tests d'intrusion, évaluation de vulnérabilité, audit de codes, etc.) que ses clients lui confient et de ses activités de recherche indépendante, Julien forme régulièrement des professionnel·le·s sur la sécurité Web. Il s'adonne aussi, de temps à autre, à la chasse au bogues de sécurité (bug bounty hunting).
Julien partage ses réflexions et sa recherche sur son blog, qui est, sans surprises, principalement dédié au langage Go et à la sécurité Web.
Gwendal LE COGUIC
Gwendal est un développeur de longue date, il a commencé la programmation web en 97 et maitrise bien les standards du milieu.
Détenteur de la certification OSCP, il s'est reconverti dans la sécurité il y a quelques années afin d'opérer en tant que bug bounty hunter. Depuis il a codé de nombreux outils liés à la sécurité en PHP, Go, Python et Bash disponibles sur son Github.
Aujourd'hui Gwendal a pour ambition de partager sa passion en aidant les entreprises mais aussi les indépendants à mieux protéger leurs systèmes.
A propos de Human Coders
Human Coders c'est un centre de formation pour développeurs avec :
- une certification Qualiopi, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
- de nombreux clients qui nous font confiance depuis des années
- un manifeste pour garantir des formations à taille humaine, des formateurs passionnés, de véritables workshops...
- 103 formations au catalogue, 1464 sessions depuis nos débuts en 2012 avec une moyenne de satisfaction de 4,6/5
- la possibilité de vous proposer un accompagnement personnalisé ou du conseil après la formation
50 témoignages
Julien explique de façon très claire et pédagogue les principaux concepts et failles de sécurité des applications web. Dans un domaine où il e...
Julien explique de façon très claire et pédagogue les principaux concepts et failles de sécurité des applications web. Dans un domaine où il est difficile d'être exhaustif, surtout en 3 jours, il arrive à donner les clés pour qu'on puisse continuer l'exploration de façon autonome avec une bonne compréhension des bases. Les nombreux exercices pratiques aident à bien comprendre les mécanismes d'attaque et de défense.
Voir plus
Marie Destandau - Pass Culture - 06.12.2023
Une formation qui aborde la sécurité du côté offensif pour être plus à même de déterminer les mesures à prendre du côté défensif. Très enrichi...
Une formation qui aborde la sécurité du côté offensif pour être plus à même de déterminer les mesures à prendre du côté défensif. Très enrichissant.
Voir plus
Benjamin Gross - DATA PROJEKT - 23.06.2023
Excellente formation, même en ayant quelques notions de sécurité, on apprend quand même beaucoup !
Excellente formation, même en ayant quelques notions de sécurité, on apprend quand même beaucoup !
Éloi Antz - DATA PROJEKT - 23.06.2023
Formation complète et passionnante. Les exercices pratiques de hacking sont un vrai plus pour comprendre les failles web et s'en protéger. Je ...
Formation complète et passionnante. Les exercices pratiques de hacking sont un vrai plus pour comprendre les failles web et s'en protéger. Je recommande !
Voir plus
David HAMELIN - PHENIX AVIATION - 23.06.2023
La formation est très intéressante et permet de mettre en pratique les choses que nous apprenons au fur et à mesure de la formation. Je la con...
La formation est très intéressante et permet de mettre en pratique les choses que nous apprenons au fur et à mesure de la formation. Je la conseillerai à n'importe qui voulant sécuriser son application web.
Voir plus
Nicolas DEMONTOUX - 1D345 - 23.06.2023
Formation très dynamique, avec une approche intéressante (sans doute au vu du sujet qui est atypique).
Formation très dynamique, avec une approche intéressante (sans doute au vu du sujet qui est atypique).
Olivier BOCQUET - Mazarine Digital - 02.02.2023
C'était super, tout à fait adapté à nos besoins, bien rythmé entre théorie et pratique. C'était trois journées bien utiles.
C'était super, tout à fait adapté à nos besoins, bien rythmé entre théorie et pratique. C'était trois journées bien utiles.
Pierre BONNEFOI - Mazarine Digital - 02.02.2023
Très bonne formation. Le contenu et les TP sont réussis. Le formateur prend le temps d'expliquer les différentes vulnérabilités.
Très bonne formation. Le contenu et les TP sont réussis. Le formateur prend le temps d'expliquer les différentes vulnérabilités.
Julien BUNEL - Placement direct - 27.01.2023
Formation très interessante.
Formation très interessante.
Hélène BLANC - SAGEMCOM BROADBAND - 05.12.2022
Excellente formation, Gwendal est évidemment un expert dans son domaine mais aussi et surtout un passionné et son enthousiasme est communicati...
Excellente formation, Gwendal est évidemment un expert dans son domaine mais aussi et surtout un passionné et son enthousiasme est communicatif ! Un très bon moyen de faire un tour d'horizon des différentes menaces pour avoir en tête les protections à mettre en place dans son code.
Voir plus
Marie BAUDLOT - Marie BAUDLOT - 05.12.2022
Approche passionnée du formateur qui a grandement contribué à la qualité de la formation. J'ai appris beaucoup de choses en très peu de temps....
Approche passionnée du formateur qui a grandement contribué à la qualité de la formation. J'ai appris beaucoup de choses en très peu de temps. Merci.
Voir plus
Jordi GRIMAUD - Tysoft - 26.11.2022
Top formation avec Julien.
Top formation avec Julien.
Rémi DE SAIGNES - CCLD SOLUTIONS DIGITALES - 24.11.2022
Super formation
Super formation
Kenni Bertucat - Tysoft - 17.10.2022
top
top
Fabrice De Stéfanis - Tysoft - 16.10.2022
En tant que RSSI, je n'étais pas étranger aux différentes techniques utilisées par les attaquants, mais je n'avais pas forcément eu l'occasion...
En tant que RSSI, je n'étais pas étranger aux différentes techniques utilisées par les attaquants, mais je n'avais pas forcément eu l'occasion de pratiquer concrètement ni d'avoir l'explication du fonctionnement des standards, de comment ils pouvaient être détournés et de comment les sécuriser, n'ayant pas d'expérience en développement Web. C'est maintenant chose faite.
Voir plus
Christophe Pugnoud - Tysoft - 16.10.2022
C'est une belle expérience et l'ambiance générale est bien
C'est une belle expérience et l'ambiance générale est bien
JEBRIL Samiha - Université Saint Louis - Bruxelles - 12.10.2022
La formation correspond bien au sommaire présenté en amont.
La formation correspond bien au sommaire présenté en amont.
Bertrand ORCIBAL - ONERA - 20.09.2022
Formation qui donne un panorama pertinent sur les questions de sécurité des applications web. Les exercices permettent de comprendre les diffé...
Formation qui donne un panorama pertinent sur les questions de sécurité des applications web. Les exercices permettent de comprendre les différents types de failles et leur impact. L'utilisation de quelques outils (logiciels, scripts, sites) permet également de baliser un catalogue qui, d'un premier abord, est beaucoup trop vaste (Kali tools par exemple). Equilibre entre théorie, pratique, illustrations...
Voir plus
Eric FABRE - ONERA - 28.07.2022
Cette formation sur la sécurité des applications web a été pédagogique. J'ai eu le luxe d'être en très petit comité (2 formateurs et 2 partici...
Cette formation sur la sécurité des applications web a été pédagogique. J'ai eu le luxe d'être en très petit comité (2 formateurs et 2 participants) pendant 3 jours. L'interface bWAPP est très bien faite pour mettre en pratique l'exploitation de failles de sécurité et la théorie était bien expliquée.
Voir plus
Melissa DUPUIS - Preligens - 14.06.2022
Formation très intéressante !
Formation très intéressante !
BENOIT MAIGRET - AGIR POUR L'ENVIRONNEMENT - 14.06.2022
Très bonne formation pour bien comprendre les mécaniques du hacking et de la sécurité des applications web. Le formateur est à l'écoute et le ...
Très bonne formation pour bien comprendre les mécaniques du hacking et de la sécurité des applications web. Le formateur est à l'écoute et le programme bien structuré. De nombreuses informations utiles pour améliorer la sécurité des applications
Voir plus
Lucas SCHILLING - OPTEAMUM
Très bonne formation pour entrer dans le sujet
Très bonne formation pour entrer dans le sujet
Jean-François VALLET - OSAXIS
Cette formation contribue à améliorer notre culture générale sur la sécurité et va nous conduire à améliorer nos pratiques
Cette formation contribue à améliorer notre culture générale sur la sécurité et va nous conduire à améliorer nos pratiques
Thomas DESVENAIN - Zeenea
La formation est bien animé et comporte une alternance de partage d'expérience et de travail pratique, la diffusion d'un support sera un plus.
La formation est bien animé et comporte une alternance de partage d'expérience et de travail pratique, la diffusion d'un support sera un plus.
Jérôme CAL - Infomil
Cette formation m'a fait découvrir tout un pan de l'informatique dont je minimisais l'importance. L'approche par des travaux pratiques perme...
Cette formation m'a fait découvrir tout un pan de l'informatique dont je minimisais l'importance. L'approche par des travaux pratiques permet d'assimiler plus facilement les différents concepts et de mieux comprendre par la suite l'importance des bonnes pratiques et outils à utiliser afin de mieux se prémunir.
Voir plus
Benjamin ROUX - Infomil
Très bien
Très bien
Jean-Michel BERNOUIN - Infomil
Formation parfaite ! Elle aurait été encore mieux en "physique", mais le contexte actuel ne le permettait pas. Un grand merci pour cette forma...
Formation parfaite ! Elle aurait été encore mieux en "physique", mais le contexte actuel ne le permettait pas. Un grand merci pour cette formation de qualité.
Voir plus
Maxime LEGRAND - Infomil
Très bonne formation !
Très bonne formation !
Thibault DIGONNET - Infomil
Formation très intéressante qui sensibilise vraiment aux failles du développement WEB.
Formation très intéressante qui sensibilise vraiment aux failles du développement WEB.
Thierry DEVES - Infomil
Formation très intéressante qui sensibilise bien à la sécurité. Souvent on met l'accent sur la sécurité sans pour autant donner d'explication...
Formation très intéressante qui sensibilise bien à la sécurité. Souvent on met l'accent sur la sécurité sans pour autant donner d'explications tangibles. Là, on comprend bien le risque et l'enjeu qui se joue. Elle nécessite des prérequis de connaissance importants. Très bonne pédagogie du formateur.
Voir plus
Pierre CHAUBET - Infomil
Très bien
Très bien
Cécile NOIRAT - Infomil
C'est une bonne formation, mais en fonction des connaissances qu'on a déjà les TP seront plus abordables pour certaines personnes. Il vaut mie...
C'est une bonne formation, mais en fonction des connaissances qu'on a déjà les TP seront plus abordables pour certaines personnes. Il vaut mieux avoir un petit niveau en développement sinon c'est la noyade assurée. Personnellement, j'ai trouvé la formation super interessante mais je réalise qu'il y a des domaines ou je n'avais pas les compétences nécessaires pour bien assimiler certaines choses.
Voir plus
Florian BOUCLY - La Compagnie Fiduciaire
Contenu qualitatif, formateur très pédagogue et compétent.
Contenu qualitatif, formateur très pédagogue et compétent.
Kevin Foliot - Infomil
Fred est un bon orateur, on bon pédagogue et très certainement un bon professionnel. La formation était homogène et bien répartie. Les cas d'...
Fred est un bon orateur, on bon pédagogue et très certainement un bon professionnel. La formation était homogène et bien répartie. Les cas d'exemples concrets. Bravo
Voir plus
Cyril Leclercq - Infomil
Formation très instructive, voir la sécurité de façon offensive est une expérience enrichissante !
Formation très instructive, voir la sécurité de façon offensive est une expérience enrichissante !
Gwendal DUGUE - Microdon SAS
Super formation, et super formateur :) Malgré le contexte qui a transformé notre formation présentielle en full distance, j'ai vraiment été p...
Super formation, et super formateur :) Malgré le contexte qui a transformé notre formation présentielle en full distance, j'ai vraiment été plongé dans le contenu et les TP de la formation. Retour d'xp très intéressants aussi.
Voir plus
Matthieu DELMAS - Microdon SAS
Bonne formation pour y voir un peu plus clair dans l'univers des failles de sécurités.
Bonne formation pour y voir un peu plus clair dans l'univers des failles de sécurités.
Nithyan KUGATHASAN - CNCC SERVICES
J'ai suivi cette formation en n'ayant que de très minces connaissances en sécurité et je l'ai trouvée claire et très accessible.
J'ai suivi cette formation en n'ayant que de très minces connaissances en sécurité et je l'ai trouvée claire et très accessible.
Luana LORTHIOS - La Compagnie Fiduciaire
Très bon panorama de l'environnement de la sécurité des applications, bonnes introduction aux méthodologies, ponctuée s de travaux pratiques. ...
Très bon panorama de l'environnement de la sécurité des applications, bonnes introduction aux méthodologies, ponctuée s de travaux pratiques. Je recommande !
Voir plus
Colin FAY - Think R
Formateur passionné et pédagogue. Merci beaucoup!
Formateur passionné et pédagogue. Merci beaucoup!
Michael LADOWICHX - Moody's Analytics
Bonne formation, avec des exercices pratiques et des exemples pour illustrer la théories
Bonne formation, avec des exercices pratiques et des exemples pour illustrer la théories
Frédéric GERMONNEAU - Moody's Analytics
Un formateur excellent sur un sujet passionnant. Beaucoup d'expertise. Contenu riche. Je recommande vivement.
Un formateur excellent sur un sujet passionnant. Beaucoup d'expertise. Contenu riche. Je recommande vivement.
Emmanuel BLANC - Nasco France
Excellente formation et formateur. Contenu pertinent et à la pointe, bien orienté développeurs et développements. Echanges réguliers durant la...
Excellente formation et formateur. Contenu pertinent et à la pointe, bien orienté développeurs et développements. Echanges réguliers durant la formation sur des REX pertinents. Théorie et pratique parfaitement en adéquation avec les problématiques du marché d'aujourd'hui.
Voir plus
Pierre-Olivier BLOUIN - Cloud Temple
J'ai appris énormément sur le sujet lors de cette formation. De nombreuses découvertes sur les vulnérabilités du web et cela à tout niveau (du...
J'ai appris énormément sur le sujet lors de cette formation. De nombreuses découvertes sur les vulnérabilités du web et cela à tout niveau (du développement aux choix d'architectures...).
Voir plus
Mickael BERNIER - MAIF
Très interessant de se mettre à la place de l'attaquant afin d'en comprendre la méthodologie et les techniques utilisées.
Très interessant de se mettre à la place de l'attaquant afin d'en comprendre la méthodologie et les techniques utilisées.
Clément CHAVRY - MAIF
La formation est très instructive et apporte beaucoup de clés, pour introduire à une démarche de développeur des éléments de réflexion autour ...
La formation est très instructive et apporte beaucoup de clés, pour introduire à une démarche de développeur des éléments de réflexion autour de la sécurité. J'ai été très intéressé par les sujets sur Agile + Sécurité (SCRUM SDLC, etc.)
Voir plus
Remy VUONG - Davidson Consulting
Super formation ! Un intervenant très compétent et des connaissances utiles et surtout nécessaires aujourd'hui
Super formation ! Un intervenant très compétent et des connaissances utiles et surtout nécessaires aujourd'hui
Guillaume GIROUX - Davidson Consulting
Formation très intéressante. Travaux pratiques très enrichissants.
Formation très intéressante. Travaux pratiques très enrichissants.
Didier MONNIER - REED ORGANISATION
Cette formation permet de vraiment se sensibiliser sur les pratiques des hackers afin de comprendre comment ces derniers peuvent repérer les f...
Cette formation permet de vraiment se sensibiliser sur les pratiques des hackers afin de comprendre comment ces derniers peuvent repérer les failles de nos applications. Très instructif !
Voir plus
Yoann FLEGEAU - Banque Populaire Val de France
Formation très intéressante, formateur extra, disponible et clair. Nombreux cas pratiques.
Formation très intéressante, formateur extra, disponible et clair. Nombreux cas pratiques.
Benjamin HAMEL - CICD
Nos clients
* Nombre de personnes ayant répondu au questionnaire de satisfaction sur cette formation depuis 2012