hsc - formation - réalisation pratique des tests d'intrusion
hsc - formation - réalisation pratique des tests d'intrusion
cabinet de consultants en sécurité informatique depuis 1989 - spécialisé sur unix, windows, tcp/ip et internet
vous êtes ici : accueil > services > formations > réalisation pratique des tests d'intrusion
recherche :
services
domaines de compétences
conseil & expertise
prestations iso 27001
veille en vulnérabilités
audit & Évaluation
tests d'intrusion
tests de vulnérabilités (tsar)
assistance technique
formations
conférences
agenda
interventions passées
tutoriels
ressources
index thématique
brèves
présentations
cours
articles
outils (téléchargement)
veille en vulnérabilité
société
hervé schauer
offres d'emploi
références
historique
partenariats
associations
presse et communication
newsletter hsc
revue de presse
communiqués de presse
publications
contacts
coordonnées
requêtes particulières
accès à nos locaux
hôtels proches de nos locaux
|">réalisation pratique des tests d'intrusion
voir aussi...
organisation des formations
planning des formations inter-entreprises
liste complète de nos prestations
newsletter hsc
tests d'intrusion
tests de vulnérabilités (tsar)
thème actualité
thème avis de sécurité
newsletter hsc
comment nous demander une prestation
objectifs
durée
formateur(s)
public visé et prérequis
méthode pédagogique
cours associés
plan
modalités d'inscription
dates des prochaines sessions
plan
dates des prochaines sessions :
"> 21-25 janvier 2008 (paris)
"> 18-22 février 2008 (paris)
"> 6-13 juin 2008 (paris)
dates soumises à modification sans préavis.
les sessions n'auront lieu que si le nombre d'inscrits est suffisant.
l'intérêt des tests d'intrusion pour évaluer la sécurité d'un système
informatique n'est aujourd'hui plus à démontrer :
ils permettent de découvrir des vulnérabilités majeures (et parfois triviales à exploiter) que les scanners de vulnérabilités ne voient pas toujours.
ils montrent comment un attaquant peut progresser au sein du réseau ciblé, en tirant parti de vulnérabilités dans des systèmes peu protégés pour compromettre par rebond des systèmes critiques.
par rapport à un audit de configuration, ils mettent plus facilement l'accent sur les vulnérabilités réellement exploitables par les attaquants.
ils sont le moyen le plus convaincant de mettre la sécurité d'un système informatique "à l'épreuve des faits".
enfin, ils permettent de répondre aux exigences de nombreuses normes qui recommandent ou imposent d'en réaliser régulièrement (par exemple les chapitres 15.2.2 et 12.6.1 de la norme iso 27002 ou la norme pci).
cependant, pour être efficaces, les tests d'intrusion nécessitent de la
part de l'auditeur une réelle méthodologie et la maîtrise des
principales techniques d'attaques sur les systèmes entrant dans le
périmètre de l'intrusion.
objectifs
la formation proposée par hsc permet à chaque stagiaire d'apprendre et
de mettre en pratique les techniques d'intrusion les plus récentes sur
les principales technologies du marché (systèmes d'exploitation, bases
de données, applications web, etc.). la formation se veut pragmatique :
chaque stagiaire dispose d'un ordinateur pour réaliser les travaux
pratiques utilisant les techniques enseignées sur des plates-formes de
tests du laboratoire hsc.
durée
5 jours.
formateur(s)
4 à 6 consultants parmi :
benjamin arnault
renaud feil
guillaume lehembre
raphael marichez
louis nyffenegger
jérôme poggi
julien raeis
benjamin tréheux
public visé et prérequis
cette formation s'adresse :
aux experts en sécurité, consultants ou auditeurs internes dont le rôle est de vérifier la sécurité des systèmes informatiques ;
aux administrateurs systèmes ou réseaux, chefs de projets, ou responsables sécurité voulant mieux comprendre les techniques des attaquants pour ainsi mieux sécuriser leurs systèmes.
les participants doivent avoir une expérience dans l'utilisation des
systèmes windows et unix/linux et une bonne connaissance des principaux
protocoles de la suite tcp/ip. des connaissances dans l'administration
de bases de données ainsi que dans le développement d'application web
sont un plus mais ne sont pas indispensables.
méthode pédagogique
chaque phase du processus d'intrusion est présentée et illustrée par des
démonstrations. durant chaque module, chaque stagiaire dispose d'un pc
pour mettre en pratique les techniques enseignées sur des plates-formes
de tests du laboratoire hsc.
l'objectif étant de permettre aux stagiaires d'évaluer rapidement les
risques que court un système informatique face à une intrusion externe,
une large place est laissée dans la formation à l'expérimentation et à
l'utilisation des outils et techniques d'intrusion.
chaque stagiaire reçoit les supports papiers de formation ainsi qu'un
support électronique contenant les documents de références et les outils
utilisés durant la formation.
cours associés
les autres cours techniques hsc permettent d'approfondir les risques et
les actions de sécurisation à mener sur les technologies abordées dans
le cours de tests d'intrusion.
on pourra citer entre autre :
sécurité des serveurs et applications web
sécurité windows
sécurité unix et linux
sécurité des réseaux et des transmissions
plan
la formation démarre par une présentation de la méthodologie globale
utilisée par hsc lors d'un test d'intrusion. elle s'articule ensuite
autour d'un scénario d'intrusion "type", permettant aux stagiaires
d'apprendre et de mettre en pratique de nombreuses techniques dans leur
contexte : intrusion depuis internet, rebond sur différentes machines
accessibles depuis la dmz et compromission des machines du réseau
interne. au fil de ce scénario d'intrusion, des techniques génériques ou
propres à certaines technologies sont présentées.
hsc pourra faire évoluer le programme de la formation en fonction de l'apparition de nouvelles vulnérabilités ou techniques d'attaques.
introduction :
législation et déontologie
déroulement d'un test d'intrusion
retour d'expérience sur le déroulement d'un test d'intrusion
techniques globales :
aspect sécurité des principaux protocoles réseaux (arp, tcp, udp, icmp, etc.)
phases communes de tout test d'intrusion
recherche d'informations
identification et qualification des cibles
prise d'empreinte des services accessibles
test d'intrusion externe :
attaque des principaux services internet (serveurs http, smtp, vpn, etc.)
attaque ou contournement des éléments réseaux (pare-feu, routeurs, etc.)
recherche et exploitation de vulnérabilités dans les applications web (xss, xsrf, sql injection, etc.)
test d'intrusion avec disponibilité du code source
attaque des postes clients et ingénierie sociale
rebond et mise en place de tunnels vers le réseau interne
test d'intrusion interne :
attaques des serveurs windows et compromission d'un contrôleur de domaine
techniques de compromission de serveurs unix/linux
attaques des bases de données (oracle, mysql, etc.)
attaques réseaux (usurpation d'adresse, capture de trafic, etc.) (dépassements de tampon, chaînes de format, etc.)
recherche et exploitation de vulnérabilités dans les applications fréquemment rencontrées (sauvegarde, messagerie, travail collaboratif, etc.)
introduction à l'utilisation de techniques d'ingénierie inverse lors d'un test d'intrusion
exemples d'exploitation des vulnérabilités liées à la gestion de la mémoire
abord d'autres technologies (novell netware, lotus, mainframe, iseries, etc.)
conseils et références pour aller plus loin.
plan
jour 1 matin :
introduction
législation et déontologie
méthodologie globale des tests d'intrusion
retours d'expérience et conseils
découverte réseau et qualification des cibles
recherche d'informations sur le web
identification et qualification des cibles
pratique : début du scénario d'intrusion sur l'entreprise fictive abc
recherche d'informations publiques sur l'entreprise abc
prise d'empreinte sur les machines accessibles depuis internet
jour 1 après-midi :
intrusion sur les applications web
vulnérabilités, techniques d'exploitation et outils
pratique : intrusion externe sur une application web
attaque de l'application web de l'entreprise abc
jour 2 matin :
intrusion sur les bases de données
vulnérabilités, techniques d'exploitation et outils
pratique : intrusion sur les bases de données
compromission du système d'exploitation depuis la base de données
attaques d'autres bases de données accessibles depuis la dmz de l'entreprise abc
jour 2 après-midi :
intrusion sur les systèmes unix / linux
vulnérabilités, techniques d'exploitation et outils
pratique : intrusion sur les systèmes unix / linux
attaques d'autres systèmes d'exploitation accessibles depuis la dmz de l'entreprise abc
jour 3 matin :
intrusion sur les systèmes windows
vulnérabilités, techniques d'exploitation et outils
jour 3 après-midi :
pratique : intrusion sur les systèmes windows
compromission de l'active directory du réseau interne de l'entreprise abc
vulnérabilités liées à la gestion de la mémoire
recherche et exploitation de débordements de tampon et de vulnérabilités de chaînes de format
utilisation avancée de l'outil metasploit
pratique : exploitation de vulnérabilités publiques
programmation du code d'exploitation pour une vulnérabilité dans une application de l'entreprise abc
utilisation de l'outil metasploit pour compromettre des serveurs du réseau interne de l'entreprise abc
jour 4 matin :
ingénierie inverse
rôle et apports de l'ingénierie inverse dans un test d'intrusion
pratique : ingénierie inverse
recherche d'informations sensibles dans les fichiers exécutables d'une application de l'entreprise abc
attaques sur le réseau
attaques des routeurs et des pare-feu
aspect sécurité des principaux protocoles réseaux (arp, tcp, udp, icmp, etc.)
principales attaques réseau (usurpation d'adresse, capture de trafic, etc.)
pratique : attaques sur le réseau
compromission d'un routeur cisco de l'entreprise abc
utilisation de l'arp spoofing pour récupérer du trafic sur le réseau interne
jour 4 après-midi :
attaques des postes clients
vulnérabilités, techniques d'exploitation et outils
etablissement d'un tunnel de communication vers internet
pratique : attaque des postes clients
compromission d'un poste client de l'entreprise abc
jour 5 matin :
attaques d'autres technologies ("old-stuff hacking")
modems et accès distants (wardialing)
novell netware
lotus domino
mainframe
iseries (as/400)
etc.
jour 5 après-midi :
atelier récapitulatif
consolidation des connaissances
conseils pour aller plus loin
modalités d'inscription
pour toute inscription aux formations hsc, vous devez nous transmettre les
noms et prénoms des stagiaires, votre adresse postale et le numéro de tva
intra-communautaire de votre société. ces renseignements permettent d'établir
la convention de formation.
la convention de formation est à retourner signée, tamponnée et accompagnée
d'un bon de commande de votre organisme, au plus tard 6 jours ouvrés avant
la formation. le bon de commande doit indiquer votre adresse de facturation
et nos conditions de règlement : 30 jours nets date d'émission de facture,
envoyée après la formation.
l'inscription est confirmée dès la réception de ces deux documents.
cours inter-entreprises ou intra sur demande.
dates des prochaines sessions
paris du 21 au 25 janvier 2008
dernière modification le 31 octobre 2007 à 17:27:01 cet - webmaster@hsc.fr
informations sur ce serveur - © 1989-2007 hervé schauer consultants
Acceuil
suivante
hsc - formation - réalisation pratique des tests d'intrusion GP2: tests au Paul Ricard - Circuit - GP2 - Renault - Sport Auto ... EHESS : Actualités - Tests de ressources documentaires électroniques Tests Les tests mathematiques du Kangourou Scoopeo - Pétition POUR les tests ADN Project-VerTeCs:Génération de tests et vérification symboliques tests qcm test de logique, mathématique et compétences Tests - A nous la parole - Femme Actuelle TrackAno : gestion et suivi des tests, anomalies et recettes en ... AllRefer Health - Tests & Exams Cyber Emploi - Outils - Tests de recrutement en ligne Tests de classement- Hiver 2008 tests et outils : sport, ruffier, cooper, luc leger, VMA, vo2max ... Tests Trucs astuces how-to, optimiser Windows Vista XP 2003 2000 NT 95 ... CNRS - DSI - Conduite de projet - Tests de validation Test minceur : testez vos connaissances minceur ! - Tests et quiz ... Test beauté : testez vos connaissances sur la beauté. Les tests ... surveillance - erika - suivi des contaminations - tests ... OFFRES D'EMPLOI, EXEMPLES CV, TESTS EMPLOI, BILLETS AVION, CROISIERE EducationFR Chine Tests de français Tests de français Franc-parler - Annuaire de liens : Formation > Certifications et tests QCM, Quizz, Tests et Culture Générale Betapolitique - L’amendement sur les tests ADN supprimé en ... Tests - Si vous étiez une maison, *vous seriez...* - Lefigaro.fr ... Personality Tests MAHG v2.0 - One hour tests with a COP of 21 by JL Naudin Tests et recette Forum Yahoo! Actualités - Général - Regroupement familial : tests ... Conseils Carrière Monster - Les tests de recrutement KeepCore, Qualité, Test et Développement de logiciels - Exécution ... KeepCore, Qualité, Test et Développement de logiciels - Tests ... Décoration, design, idées déco : testez-vous sur Marie Claire Maison Matériels : tests express SVM Mac Logiciels : tests express SVM Mac GOLIAS Editions - Tests ADN : Mgr Hippolyte Simon (Clermont) fait ... Tests et positions Documentation sur le groupement des tests Des tests antidopage dans la PGA en juillet Golf Cyberpresse Playstation portable PSP de Sony : news, tests [Jeux vidéo ... Liste des Tests Consoles Portables - Page 1 Existe-t-il des tests de diagnostic rapide de la maladie chez les ... Tests de langue (TCF, TEF, DELF-DALF) et dispenses - Campus France ... Tests-manía Tests - Matériel - Informatique - High-tech - Actualité Tests de culture générale Tests et instruments de mesure - Bibliothèque ÉPC-Biologie ... Biologisches Alter Tests Herz & Kreislauf Ratgeber Gesundheit ... Tests gastro-intestinaux - Analyses bio - Encyclopédie Vulgaris ... Dossier Tests genetiques (@ Sciences et Démocratie) Coaching et tests QI, emploi, personnalité et rencontres - 3suisses Chapitre 7. Tests PC Tests sur PC/Windows [PC] #1 Serial Gamer Supertest : le site de tous les tests et quizz Free English Tests for ESL/EFL, TOEFL, TOEIC, SAT, GRE, GMAT TESTS ONLINE Aumenta tu capacidad intelectual en test de inteligencia. 500 tests psychotechniques de logique et d'intelligence de Philip ... PersonalDNA Your True Self Revealed - Fast Fun Free Personality ... Tests d'evaluation - Aidemploi.com