OBJECTIFS de la formation EC-Council Web Application Hacking and Security (WAHS)

    • Comprendre les vulnérabilités des applications et le piratage d’applications Web
    • Apprendre à défendre vos applications et progresser vers la sécurité du piratage d’applications Web
    • Tester vos compétences et apprendre à pirater des applications
    • Hacker à travers divers défis, de l’injection SQL aux mauvaises configurations de sécurité, en passant par le Cross-Site-Scripting, et plus encore
    • Être capable d’effectuer une évaluation de la sécurité des applications Web dans des scénarios stressants réels

POUR QUI ?

    Pentester, hacker éthique, ingénieur de sécurité, ingénieur Red Team, Ingénieur en sécurité de l’information, analyste risque/vulnérabilité, responsable des vulnérabilités, ingénieur en réponse aux incidents

PRÉ-REQUIS

    Avoir une compréhension approfondie des technologies des applications web, de leurs vulnérabilités inhérentes et acquises, ainsi que des techniques d’exploitation manuelles, et ne se limite pas à la simple compréhension des frameworks d’exploitation automatisés

PROGRAMME DE LA FORMATION EC-Council WHAS

EC-Council Web Application Hacking and Security (WAHS)

    Le programme du cours Web Application Hacking and Security (WAHS) n’est pas explicitement divisé en « modules » nommés dans les sources, mais il est structuré autour d’un ensemble complet de compétences et de sujets pratiques.

    Tests d’intrusion avancés sur les applications web.
    Vulnérabilités par injection :
    • Injections SQL (SQLi) avancées : réfléchies, stockées et basées sur le DOM.
    • Injection de commandes.

    Vulnérabilités liées aux scripts côté client/serveur :

    • Cross Site Scripting (XSS) : réfléchies, stockées et basées sur le DOM.
    • Cross Site Request Forgery (CSRF) : méthodes GET et POST.
    • Server-Side Request Forgery (SSRF).
    Erreurs de configuration de sécurité et contrôle d’accès :
    • Erreurs de configuration de sécurité.
    • Navigation de répertoires/bruteforcing.
    • Bypass d’authentification.
    • Référence directe d’objet non sécurisée (IDOR) et sa prévention.
    • Contrôle d’accès défaillant (Broken Access Control).
    Vulnérabilités d’inclusion et de manipulation de fichiers :
    • Inclusion de fichier local (LFI).
    • Inclusion de fichier distant (RFI).
    • Téléchargement de fichier arbitraire.
    • Téléchargement de fichier arbitraire (Upload).
    • Altération de fichiers (File Tampering).
    • Empoisonnement des journaux (Log Poisoning).
    Vulnérabilités liées à l’exécution de code et aux composants :
    • Exécution de code à distance (RCE).
    • Utilisation de composants avec des vulnérabilités connues.
    Techniques d’énumération et d’attaque de mot de passe :
    • Analyse de vulnérabilités CMS.
    • Analyse de réseau.
    • Énumération d’applications web.
    • Attaques par dictionnaire.
    Autres vulnérabilités et techniques d’attaque :
    • Élévation de privilèges.
    • Chiffrements SSL faibles.
    • Modification de cookies.
    • Analyse du code source.
    • Modification des en-têtes HTTP.
    • Fixation de session (Session Fixation).
    • Clickjacking

PÉDAGOGIE

Les ressources pédagogiques du module WAHS ne sont pas des supports statiques (comme des vidéos ou des PDF de cours classiques) mais résident principalement dans un environnement interactif de laboratoires et de défis gamifiés.

La durée d’apprentissage réelle est estimée à 60 heures.

ÉVALUATION / CERTIFICATION

L’examen, qui est un examen pratique de 6 heures, entièrement en ligne et surveillé à distance, évalue spécifiquement la capacité des candidats à réaliser une évaluation de la sécurité des applications web dans des scénarios réels. Il sera accessible une fois les modules de formation achevés.

Les candidats obtenant un score supérieur à 60% recevront la certification Certified Web Application Security Associate, ceux obtenant un score supérieur à 75% recevront la certification Certified Web Application Security Professional, et ceux obtenant un score supérieur à 90% obtiendront la prestigieuse certification Certified Web Application Security Expert !

MODALITÉS D’ACCÈS & INSCRIPTION

Le client qui souhaite réserver une place remplit une demande de pré-inscription. Learneo retourne une proposition commerciale comprenant les caractéristiques de la formation et son prix. La commande n’est ferme et définitive qu’une fois la proposition commerciale signée par le client. Il recevra ensuite la convocation et les modalités d’accès en présentiel ou distanciel.

Accessibilité Handicap :

Afin de mieux organiser votre participation, nous vous encourageons vivement à nous informer le plus tôt possible de la nature de votre handicap, de vos besoins spécifiques, ainsi que des outils et accompagnements que vous utilisez déjà au quotidien, en écrivant à Handicap@learneo.fr. Cette démarche proactive nous permettra de personnaliser notre approche et de vous offrir un soutien optimal.

Délais d’accès :

Prévoir 5 jours ouvrés (en moyenne) avant le début de la formation sous réserve de disponibilité de places et de labs le cas échéant.

Notez que si vous utilisez votre Compte Personnel de Formation pour financer votre inscription, vous devrez respecter un délai minimum et non négociable fixé à 11 jours ouvrés.