> formation Technologies numériques > formation Cybersécurité > formation Détection d'incidents, pentests, forensic > formation Hacking et Pentest : base de données

ERROR Avis : La référence d'objet n'est pas définie à une instance d'un objet.
Toutes nos formations Détection d'incidents, pentests, forensic

Formation Hacking et Pentest : base de données

Stage pratique
Durée : 3 jours
Réf : HDB
Prix  2021 : 2220 € H.T.
Pauses et déjeuners offerts
  • Programme
  • Participants / Prérequis
  • Intra / sur-mesure
Programme

Cette formation avancée vous apprendra les techniques indispensables pour mesurer le niveau de sécurité de votre SGBD (base de données). A la suite de ces attaques, vous apprendrez à déclencher la riposte appropriée et à en élever le niveau de sécurité.

Objectifs pédagogiques

À l’issue de la formation, le participant sera en mesure de :
  • Définir l'impact et la portée d'une vulnérabilité
  • Comprendre les techniques des pirates informatiques et pouvoir contrer leurs attaques
  • Mesurer le niveau de sécurité de votre base de données
  • Réaliser un test de pénétration
PROGRAMME DE FORMATION

Rappel sur les SGBDs

  • Architecture d'une instance Oracle : SQL, PL/SQL, type de champs, tablespace, fichiers journaux/fichiers de contrôles.
  • Architecture d'une instance MySQL : SQL, type de champs, journaux (général, erreurs, requêtes lentes...).
  • Architecture d'une instance SQL Server : SQL, type de champs, journaux.
  • Les procédures stockées, les fonctions et les triggers (déclencheurs).

Le Hacking et la sécurité

  • Formes d'attaques, modes opératoires, acteurs, enjeux.
  • Audits et tests d'intrusion, place dans un SMSI.

Les vulnérabilités dans le SGBD

  • La recherche des CVE (Common Vulnerabilities and Exposures).
  • Les mécanismes d'authentification de la base de donnée MySQL.
  • Les mécanismes d'authentification de la base Oracle. Le listener Oracle.
  • Les mécanismes d'authentification de la base SQL Server.
  • La méthodologie des tests d’intrusion sur les SGBD.
  • La recherche d'installation et mot de passe par défaut.

Travaux pratiques
Mesurer le niveau de sécurité de votre base de données.

Les attaques sur les SGBDs

  • Frontales : comptes par défaut, en passant par des applications fournies avec le SGBD.
  • Par rebond sur le système d'exploitation : lecture/écriture de fichiers sur le système, exécution de commande système.
  • Via le système d'exploitation : compromission de la machine et rebond sur le SGBD.
  • Via une application : défaut de conception d'une application cliente, injections SQL sur une application Web.

Travaux pratiques
Accéder à une base de données via différentes attaques. Réaliser un test de pénétration.

L'injection SQL

  • La compromission des bases de données.
  • Les concepts de l'injection SQL.
  • Les types existants du SQL Injection.
  • La méthodologie à suivre pour le SQL Injection.
  • Les outils utilisables pour le SQL Injection.
  • Les techniques d'évasion d'IDS.
  • Les contremesures à utiliser.

Travaux pratiques
Récupérer des données via une injection SQL.

Le rapport d'audit

  • Son contenu.
  • Ses rubriques à ne pas négliger.

Travaux pratiques
Compléter un rapport prérempli.

Participants / Prérequis

» Participants

Responsables, architectes sécurité. Techniciens et administrateurs systèmes et réseaux.

» Prérequis

Bonnes connaissances en sécurité SI, réseaux, systèmes (en particulier Linux) et en programmation. Ou connaissances équivalentes à celles du stage Sécurité systèmes et réseaux, niveau 1 (réf. FRW).
Intra / sur-mesure

Demande de devis intra-entreprise
(réponse sous 48h)

Vos coordonnées

En cochant cette case, j’atteste avoir lu et accepté les conditions liées à l’usage de mes données dans le cadre de la réglementation sur la protection des données à caractère personnel (RGPD).
Vous pouvez à tout moment modifier l’usage de vos données et exercer vos droits en envoyant un email à l’adresse rgpd@orsys.fr
En cochant cette case, j’accepte de recevoir les communications à vocation commerciale et promotionnelle de la part d’ORSYS Formation*
Vous pouvez à tout moment vous désinscrire en utilisant le lien de désabonnement inclus dans nos communications.
* Les participants inscrits à nos sessions de formation sont également susceptibles de recevoir nos communications avec la possibilité de se désabonner à tout moment.
CLASSE A DISTANCE

En inter et en intra-entreprise
Inscrivez-vous ou contactez-nous !

Pour vous inscrire

Cliquez sur la ville, puis sur la date de votre choix.
[-]
CLASSE A DISTANCE

Horaires

Les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45.
Pour les stages pratiques de 4 ou 5 jours, les sessions se terminent à 15h30 le dernier jour.