Formation "Mastering Burp Suite Pro - 100% hands-on"

Résumé


Ceci n'est pas une formation "Web hacking". C'est une formation destinée aux Web hackers qui veulent maitriser leurs outils.


Sujet


Burp Suite Pro est le "proxy offensif" le plus utilisé lors d'audits d'applications Web. Grâce à la maîtrise de cet outil, le temps consacré à la phase d'audit technique est largement optimisé. De plus, l'usage avancé de Burp Suite Pro permet de détecter et d'exploiter de nouvelles vulnérabilités, complexes ou subtiles. En plus de la maîtrise de l'outil, les stagiaires apprendront à mesurer le succès de leurs attaques, compétence indispensable en conditions réelles.


La plupart des fonctionnalités sont couvertes, incluant les plus récentes comme Infiltrator (IAST sur applications Java et .Net). Des stratégies ou techniques alternatives seront présentées afin de donner une large vision des possibilités offertes. Les nombreux challenges disponibles (même apr&eagve;s la formation !) couvrent évidemment les applications Web classiques, mais aussi les clients légers, applications mobiles, Web Services SOAP et REST, plateformes d'e-commerce, ...


Public attendu


Cette formation est principalement destinée aux personnes réalisant des tests intrusifs applicatifs et bug bounties. Toutefois, d'autres profils (comme la QA) bénéficierait des compétences présentées. Quel que soit votre profil, cette formation vous apportera des compétences significatives en automatisation d'interactions Web. Et cela que vous soyez débutant (ayant utilisé la version Free quelque fois) ou expert (utilisant la version Pro depuis des années).


Challenges


Chaque élève suit le tronc commun, composé d'environ 60 challenges. De (très) nombreux autres challenges sont disponibles, en fonction de votre rapidité, de vos goûts, de vos compétences et de vos besoins professionnels. Aucun risque de s'ennuyer !


Parmi les challenges disponibles : brute-force complexe, extraction de données, support de formats exotiques, gestion automatique des jetons anti-CSRF, cryptographie faible, webhooks, injections NoSQL, autorisation vs. authentification, déconnexion automatique, désérialisation Java, XSS en aveugle, applications Java instrumentées, APIs avec authentification JWT, workflows stricts, ...


Les challenges sont hébergés au sein d'une infrastructure Docker totalement autonome (une vingtaine de containers) qui est fournie aux élèves à l'issue de la formation. Super facile à utiliser : installez Docker, tapez quelques commandes et profitez des challenges !


Docker-based training infrastructure

(cliquer pour agrandir)


Prérequis


Connaissance basique de Burp Suite (utilisation de la GUI navigation, interception et rejeu)

Ordinateur portable (avec connectivité Wifi/Ethernet)

OS 64 bits supporté par Burp Suite Pro (Linux, Mac, Windows)

Version récente de la JVM Oracle 64 bits (peut être installé grâce aux "bundles" Burp)

Licence pour Burp Suite Pro (des licences temporaires peuvent être fournies)

Navigateur moderne (ni IE6 ni Epiphany)

Jour 1


Le premier jour est consacé à des tâches bien définies, où l'objectif est de trouver un flag, comme dans un CTF. On couvre les fonctionnalités basiques d'automatisation avec Proxy, Repeater et Proxy.


Introduction

  1. GUI, tools, shortcuts, inline help, ...

Proxy

  1. Defining the scope, filtering and sorting data, ...

Repeater

  1. Exploitation of the D-Link DIR-100 backdoor, efficiency tips, ...

Intruder

  1. Most payload types, anti-CSRF tokens without macros, data extraction, ...


Jour 2


Le second jour, les challenges deviennent plus complexes : il est nécessaire de comprendre le fonctionnement de l'application visée, mais aussi de chaîner plusieurs des outils intégrés à Burp Suite Pro.


Advanced Intruder

  1. Customized wordlists, exporting results, time-based feedback, ...

Advanced Proxy

  1. Live modifications, interception and manual analysis, ...

Data frobbing

  1. Dealing with opaque chunks of data

Macros and sessions

  1. Anti-CSRF tokens, short-lived sessions, strict workflows, ...


Jour 3


Le troisième et dernier jour se déroule différemment des précédents. Après avoir introduit de nombreux sujets avancés, je laisse les stagiaires sélectionner ceux qui les intéressent. Ils passent alors le reste de la journée sur ces sujets.


Highly useful extensions and third-party tools

  1. Logger++, AutoChrome, ...

Tools for authentication and authorization audits

  1. Authz, Compare Maps, AuthMatrix, ...

Advanced automation

  1. AngularJS and blind XSS, dynamic external references, ...

Web Services

  1. SOAP and REST interfaces, JWT authentication via macros, ...

OOB communication via Collaborator

  1. Set up your own instance, interact manually

IAST with Infiltrator

  1. Instrumented version of Jenkins and WebGoat are available

Automated and headless usage

  1. Fine tuning, using REST interfaces, ...

Advanced Web exploitation

  1. Java deserialization, weak cryptography, complex macros, ...

Formations publiques à venir


Hack In The Box Amsterdam, Pays-Bas (6 mai 2019 - 8 mai 2019)

Les inscriptions en ligne ouvriront début 2019.



Des formations privées sont possibles. Merci de me contacter directement...

Informations additionnelles

Précédentes éditions publiques


2018: Hack In The Box (NL), Prague (CZ), HITB GSEC (SG)

2017: Hack In The Box (NL), Czech OWASP meeting (CZ)

2016: NorthSec (CA), HackInParis (FR), HITB GSEC (SG), Cybsec (CH)

2015: Hackfest (CA), HackInParis (FR)

2014: HackInParis (FR), Insomni'hack (CH)

2013: AppSec Security Forum (CH)

Pour chaque élève


3 jours de pratique intensive
Copie de l'infrastructure de challenges
Les slides (~500 pages) au format PDF
Une licence Pro temporaire
Des "goodies" Burp Suite


Biographie du formateur


Nicolas Gregoire a plus de 15 ans d'experience en test intrusif et audit de réseaux et applications Web. Il est aussi un formateur officiel pour Burp Suite Pro depuis 2015, et a formé plus d'une centaine d'élèves à cet outil. Il a aussi fondé Agarri, où il cherche des failles de sécurité pour ses clients (et pour le fun). Sa recherche fut présentée à travers le monde, et il est régulièrement remercié par des éditeurs pour avoir signalé (en direct ou via des bug bounties) des vulnérabilités impactant leurs produits ou services.


Témoignages

webmaster@agarri.fr
Copyright 2010-2018 Agarri