Passer commande via notre portail client

Partager cet article ...Print this pageEmail this to someoneTweet about this on TwitterShare on FacebookShare on Google+Share on LinkedInPin on PinterestShare on TumblrDigg this
Hacking et Pentest : base de données
HDB / LI-SEC-073
OBJECTIFS PEDAGOGIQUES

 

À la fin du cours, le stagiaire sera capable de :

  • Définir l’impact et la portée d’une vulnérabilité
  • Comprendre les techniques des pirates informatiques et pouvoir contrer leurs attaques
  • Mesurer le niveau de sécurité de votre base de données
  • Réaliser un test de pénétration.
PUBLIC

 

Responsables, architectes sécurité. Techniciens et administrateurs systèmes et réseaux.

PRE-REQUIS

 

Bonnes connaissances en sécurité SI, réseaux, systèmes (en particulier Linux) et en programmation. Ou connaissances équivalentes à celles du stage Sécurité systèmes et réseaux, niveau 1 (réf. FRW).

CONTENU

Rappel sur les SGBDs

- Architecture d’une instance Oracle : SQL, PL/SQL, type de champs, tablespace, fichiers journaux/fichiers de contrôles.
- Architecture d’une instance MySQL : SQL, type de champs, journaux (général, erreurs, requêtes lentes…).
- Architecture d’une instance SQL Server : SQL, type de champs, journaux.
- Les procédures stockées, les fonctions et les triggers (déclencheurs).

Le Hacking et la sécurité

- Formes d’attaques, modes opératoires, acteurs, enjeux.
- Audits et tests d’intrusion, place dans un SMSI.

Les vulnérabilités dans le SGBD

- La recherche des CVE (Common Vulnerabilities and Exposures).
- Les mécanismes d’authentification de la base de donnée MySQL.
- Les mécanismes d’authentification de la base Oracle. Le listener Oracle.
- Les mécanismes d’authentification de la base SQL Server.
- La méthodologie des tests d’intrusion sur les SGBD.
- La recherche d’installation et mot de passe par défaut.

Les attaques sur les SGBDs

- Frontales : comptes par défaut, en passant par des applications fournies avec le SGBD.
- Par rebond sur le système d’exploitation : lecture/écriture de fichiers sur le système, exécution de commande système.
- Via le système d’exploitation : compromission de la machine et rebond sur le SGBD.
- Via une application : défaut de conception d’une application cliente, injections SQL sur une application Web.

L’injection SQL

- La compromission des bases de données.
- Les concepts de l’injection SQL.
- Les types existants du SQL Injection.
- La méthodologie à suivre pour le SQL Injection.
- Les outils utilisables pour le SQL Injection.
- Les techniques d’évasion d’IDS.
- Les contremesures à utiliser.

Le rapport d’audit

- Son contenu.
- Ses rubriques à ne pas négliger.

SESSIONS PROGRAMMEES

 

Accès au calendrier

VALIDATION

Evaluation en fin de session

PEDAGOGIE

 

Alternance d’exposés et de travaux pratiques

INTERVENANTS

 

Spécialiste

MODALITES PRATIQUES

Durée : 3 jours soit 21 heures avec 7 heures par jour
Prix stagiaire : 1 779,00 € TTC
Horaires : 9h – 17h30

Durée: