Accueil > Sécurité Informatique > Sécurité des Applications Web pour les Développeurs
Formation #SEC132

Formation Sécurité des Applications Web pour les Développeurs

Durée : 4 jours

Code : SEC132


Prochaines dates programmées :

Du 09 au 12 Avril 2024

Du 09 au 12 Juil. 2024

Du 29 Oct. au 01 Nov. 2024

Fin d'Inscription :
Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email : Au minimum 15 JOURS OUVRÉS avant la date de formation.
Si vous avez un besoin URGENT et que vous souhaitez une date de formation plus proche que les sessions programmées (minimum 15 à 20 jours ouvrés à date de votre demande)

Objectifs

  • Identifier les vulnérabilités les plus courantes des applications Web
  • Comprendre le déroulement d'une attaque
  • Connaître les bonnes pratiques pour un développement sécurisé
  • Savoir mettre en place une authentification sécurisée des utilisateurs
Programme
1/ Introduction
  • Les technologies web, les risques
  • Mythes et réalités
  • Statistiques et évolutions
2/ Vulnérabilités des applications Web
  • L'exposition des applications Web
  • Classement des risques majeurs selon l'OWASP et le CWE
  • Analyse des vulnérabilités et des conséquences de leur exploitation
  • Les principales attaques :
  • "Cross Site Scripting” (XSS)
  • Les attaques en injection
  • Les attaques sur les authentifications et sessions
  • Attaques de type DDOS
  • CSRF...
  • Les vulnérabilités des frameworks et CMS
  • Les dangers spécifiques du Web 2.0
3/ Technologies liées à la sécurité
  • Firewalls, panorama des outils, techniques de base réseaux
  • Filtres des requêtes HTTP
  • Empreinte de message, les algorithmes SHA-x et MD5
  • Signature numérique, Clé publique, clé privée, Coffre à clé et coffre de confiance, Autorités de certification
  • Chiffrement de données, les algorithmes AES et RSA
  • Protocoles SSL v2/v3 et TLS, PKI, certificats X509
  • Techniques d'authentification HTTP, authentification par certificat
4/ Sécuriser les applications Web
  • Protections basiques : Re-post des données, Time-out et déconnexion, Masquer les URL, Validation des données
  • Usurpation d'identité : Cookies et certificats numériques, Session ID et jeton de transaction, Détournement
  • Se protéger des attaques client :
  • XSS ou Cross Site Scripting
  • Utilisation des références directes
  • CSRF ou Cross Site Request Forgery
  • Sécurité d'accès au SGBD
  • SQL Injection
  • Utilisation du JavaScript
  • Échappement des tags HTML
  • Protections contre les attaques de Brute-force, Liste de contrôle d'accès
5/ Principe du développement sécurisé
  • Les écueils
  • La sécurité dans le cycle de développement
  • Application à AGILE/SCRUM
  • Le budget
  • Le rôle du code côté client
  • Le contrôle des données envoyées par le client
  • Les règles de développement à respecter
6/ Contrôler la sécurité des applications Web
  • Test d'intrusion, audit de sécurité, scanners de vulnérabilités
  • Organiser une veille technologique efficace
  • Déclaration des incidents de sécurité
7/ Gestion de la sécurité mobile
  • Composants d’un système d’exploitation mobile
  • Risques auxquels sont exposés les appareils mobiles
  • Les principales menaces pesant sur les appareils mobiles
  • Étudier les outils de piratage des appareils mobiles
  • Méthode pour sécuriser les environnements mobiles
Approche Pédagogique

Approche Pédagogique

  • Pédagogie très opérationnelle fondée sur l'alternance entre théorie et pratique
  • Cas pratiques
  • Remise d’outils
  • Echanges d’expériences
Public Cible

Personnes Visées

  • Chefs de projets
  • Développeurs
Dates

Dates

  • Du 09 au 12 Avril 2024
  • Du 09 au 12 Juil. 2024
  • Du 29 Oct. au 01 Nov. 2024
  • Fin d'Inscription :
    Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email : Au minimum 15 JOURS OUVRÉS avant la date de formation.