Formation Hacking et Pentest : base de données


Formation Hacking et Pentest : base de données

Catalogue : Cybersécurité



Rappel sur les SGBDs
• Architecture d'une instance Oracle : SQL, PL/SQL, type de champs, tablespace, fichiers journaux/fichiers de contrôles.
• Architecture d'une instance MySQL : SQL, type de champs, journaux (général, erreurs, requêtes lentes...).
• Architecture d'une instance SQL Server : SQL, type de champs, journaux.
• Les procédures stockées, les fonctions et les triggers (déclencheurs).
Le Hacking et la sécurité
• Formes d'attaques, modes opératoires, acteurs, enjeux.
• Audits et tests d'intrusion, place dans un SMSI.
Les vulnérabilités dans le SGBD
• La recherche des CVE (Common Vulnerabilities and Exposures).
• Les mécanismes d'authentification de la base de donnée MySQL.
• Les mécanismes d'authentification de la base Oracle. Le listener Oracle.
• Les mécanismes d'authentification de la base SQL Server.
• La méthodologie des tests d’intrusion sur les SGBD.
• La recherche d'installation et mot de passe par défaut.
Travaux pratiques
Mesurer le niveau de sécurité de votre base de données.
Les attaques sur les SGBDs
• Frontales : comptes par défaut, en passant par des applications fournies avec le SGBD.
• Par rebond sur le système d'exploitation : lecture/écriture de fichiers sur le système, exécution de commande système.
• Via le système d'exploitation : compromission de la machine et rebond sur le SGBD.
• Via une application : défaut de conception d'une application cliente, injections SQL sur une application Web.
Travaux pratiques
Accéder à une base de données via différentes attaques. Réaliser un test de pénétration.
L'injection SQL
• La compromission des bases de données.
• Les concepts de l'injection SQL.
• Les types existants du SQL Injection.
• La méthodologie à suivre pour le SQL Injection.
• Les outils utilisables pour le SQL Injection.
• Les techniques d'évasion d'IDS.
• Les contremesures à utiliser.
Travaux pratiques
Récupérer des données via une injection SQL.
Le rapport d'audit
• Son contenu.
• Ses rubriques à ne pas négliger.
Travaux pratiques
Compléter un rapport prérempli.

Fiche de la formation



 Cible :

Responsables, architectes sécurité. Techniciens et administrateurs systèmes et réseaux.


 Prérequis :

Bonnes connaissances en sécurité SI, réseaux, systèmes (en particulier Linux) et en programmation. Ou connaissances équivalentes à celles du stage Sécurité systèmes et réseaux, niveau 1 (réf. FRW).


 Durée : 3 jours

 Type : Stage pratique


 Contactez-nous