Accueil > Sécurité Informatique > Sécurité des Applications Web
Formation #SEC131

Formation Sécurité des Applications Web

Durée : 4 jours

Code : SEC131


Prochaines dates programmées :

Du 25 au 28 Juin 2024

Du 10 au 13 Sept. 2024

Du 10 au 13 Déc. 2024

Fin d'Inscription :
Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email : Au minimum 15 JOURS OUVRÉS avant la date de formation.
Si vous avez un besoin URGENT et que vous souhaitez une date de formation plus proche que les sessions programmées (minimum 15 à 20 jours ouvrés à date de votre demande)

Objectifs

  • Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre une application vulnérable.
  • Installer, configurer et utiliser des outils permettant d’analyser vos applications
Programme
1/ Introduction
  • Les technologies web, les risques
  • Mythes et réalités
  • Statistiques et évolutions
2/ Attaquants et défenseurs
  • Le profil des "pirates", leur arsenal
  • La défense (politique de sécurité, législation, réponse des éditeurs...)
  • Le Bug Bounty ; avantages et inconvénients
3/ Les applications Web et les menaces
  • Comment fonctionne le Web : DNS / HTTP / TLS
  • Comment fonctionnent les applications “single-page”
  • KYA : “Know Your Attacker”. Connaitre son attaquant
  • Menaces : Man In The Browser, Distribution de Malwares, Advanced Persistent Threat, Ransomware
  • Risques
4/ Constituants d'une application Web
  • Les éléments d'une application N-tiers
  • Le serveur frontal HTTP, son rôle et ses faiblesses
  • Les risques intrinsèques de ces composants
  • Les acteurs majeurs du marché
5/ Protocole HTTP
  • Rappels TCP, HTTP, persistance et pipelining
  • Les PDU GET, POST, PUT, DELETE, HEAD et TRACE
  • Champs de l'en-tête, codes de status 1xx à 5xx
  • Redirection, hôte virtuel, proxy cache et tunneling
  • Les cookies, les attributs, les options associées
  • Mécanismes d'authentification HTTP
  • L'accélération HTTP, proxy, le Web balancing
  • Attaques protocolaires HTTP Request Smuggling et HTTP Response splitting
6/ Vulnérabilités des applications Web
  • L'exposition des applications Web
  • Classement des risques majeurs selon l'OWASP et le CWE
  • Analyse des vulnérabilités et des conséquences de leur exploitation
  • Les principales attaques :
  • "Cross Site Scripting” (XSS)
  • Les attaques en injection
  • Les attaques sur les authentifications et sessions
  • CSRF...
  • Les vulnérabilités des frameworks et CMS
7/ Outils de détection et d’exploitation
  • Les scanners de vulnérabilités Web
  • L'analyse statique de
  • Les outils d’analyse manuelle
  • Exploitation SQL
  • Brute-force et fuzzing
8/ Le pare-feu réseau dans la protection d'applications HTTP
  • Le pare-feu réseau, son rôle et ses fonctions
  • Combien de DMZ pour une architecture N-Tiers ?
  • Limite du pare-feu réseau pour la protection d'une application Web
9/ Sécurisation des flux avec SSL/TLS
  • Rappels des techniques cryptographiques utilisées dans SSL et TLS
  • Gérer ses certificats serveurs, le standard X509
  • Qu'apporte le nouveau certificat X509 EV ?
  • Autorité de certification à choisir ?
  • Les techniques de capture et d'analyse des flux SSL
  • Les principales failles des certificats X509
  • Utilisation d'un reverse proxy pour l'accélération SSL
  • L'intérêt des cartes crypto hardware HSM
10/ Configuration du système et des logiciels
  • La configuration par défaut, le risque majeur
  • Règles à respecter lors de l'installation d'un système d'exploitation
  • Linux ou Windows. Apache ou IIS ?
  • La façon de configurer Apache et IIS pour une sécurité optimale
  • Le cas du Middleware et de la base de données
11/ Principe du développement sécurisé
  • Les écueils
  • La sécurité dans le cycle de développement
  • Application à AGILE/SCRUM
  • Le budget
  • Le rôle du code côté client
  • Le contrôle des données envoyées par le client
  • Les règles de développement à respecter
12/ L'authentification des utilisateurs
  • L'authentification via HTTP
  • L'authentification forte : certificat X509 client, Token SecurID, ADN digital Mobilegov...
  • Autres techniques d'authentification par logiciel : CAPTCHA, Keypass, etc
  • Attaque sur les mots de passe : sniffing, brute force, phishing, keylogger
  • Attaque sur les numéros de session (session hijacking) ou sur les cookies (cookie poisoning)
  • Attaque sur les authentifications HTTPS (fake server, sslsniff, X509 certificate exploit...)
13/ Le firewall "applicatif"
  • Reverse proxy et firewall applicatif, détails des fonctionnalités
  • Quels sont les apports du firewall applicatif sur la sécurité des sites Web ?
  • Insérer un firewall applicatif sur un système en production. Les acteurs du marché
Approche Pédagogique

Approche Pédagogique

  • Pédagogie très opérationnelle fondée sur l'alternance entre théorie et pratique
  • Cas pratiques
  • Remise d’outils
  • Echanges d’expériences
Public Cible

Personnes Visées

  • Chefs de projets
  • Développeurs
Dates

Dates

  • Du 25 au 28 Juin 2024
  • Du 10 au 13 Sept. 2024
  • Du 10 au 13 Déc. 2024
  • Fin d'Inscription :
    Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email : Au minimum 15 JOURS OUVRÉS avant la date de formation.