Sécurité des applications web

OBJECTIFS

• Découvrir les différentes menaces du Web.
• Comprendre les injections (SQL, LDAP, XSS...).
• Comprendre les vulnérabilités XSS.
• Découvrir les attaques par authentification et gestion de sessions.
• Savoir mettre en oeuvre des mécanismes de protection et de défense en profondeur.

DESCRIPTION

Dans une ambiance sympathique favorisant les échanges, cette formation permettra aux stagiaires d'identifier les vulnérabilités web et de mettre en place les protections appropriées. A l'issue de la formation, les stagiaires seront capables :

• d'identifier et contrer les vulnérabilités par injections (SQL, LDAP, Xpath, XQuery, XXE, SSJS),
• d'identifier et contrer les vulnérabilités XSS (injections, vols de cookies, pages malveillantes, attaques, CSRF, Click jacking, framing attacks...),
• d'identifier et contrer les attaques d'authentification et de gestion des sessions (Http basic et Digest, formulaires, mots de passe, vol de jetons, bruteforce de jetons...),
• de protéger les canaux de communication (https, SSL/TLS... mises à jour),
• de sécuriser un navigateur web,
• de mettre en place des mesures de défense en profondeur (sécurité niveau projet, développement sécurisé, formation, tests, gestion des comptes MySQL...).

PUBLIC CONCERNÉ

• RSSI
• Consultants en sécurité
• Développeurs web
• Administrateurs réseaux

PRÉREQUIS

Connaissances en réseau et développement web.

PLAN DE COURS

Introduction

Histoire et évolution du Web

Contexte: Les technos WEB sont omniprésentes

Modèle Web Standard

Architecture de la pile web

Le code serveur

Les Cookies

Architecture d’une application web

Fonctionnement d’un navigateur internet

Les langages du web

La sécurité des navigateurs internet

Les enjeux du Web

Les protocoles du Web

Menaces sur le Web et sécurité

L'OWASP

Les vulnerabilités par injections

Les Injections

Comment réaliser une injection ?

Injection SQL

Injection SQL : Auth bypass

Injection SQL : vol de données

Injection SQL : vol de données en aveugle

Injection NoSQL

SSJS

Injection XPath et XQuery

Injection LDAP

Injection « Server Side Include »

Injection XXE (XML External Entity)

Injection dans l’interpréteur

Prévention

Limitations Références aux objets internes

Injection Path Traversal

Upload de fichiers

Les WebShells

Prévention

Redirection vers un site externe

Redirection vers un site interne

Protection

Les vulnérabilités XSS

XSS ?

Injection XSS Stockée

Injection XSS Reflétée (non permanente)

XSS traditionnelle ou DOM-based

Attaque : Vol des cookies de Session

Attaque : Contrôle de la page à distance

Exemple du vers Tweetdeck

Exemple du vers MySpace

Prévention

Cas d’exemple : RTE

Une histoire de contexte

CSP : Eradication / Limitation des XSS

Attaque depuis une page malveillante

Les attaques de type « cross-site request forgery »

Les risques de la CSRF

Protection contre les CSRF

Le token CSRF

X-Requested-With: XMLHttpRequest

Pour les utilisateurs

Le Click Jacking

Catégorie d’attaque générique : les Framing Attacks

Le navigateur comme plateforme d’attaque

Les navigateurs en entreprise

Network Scanning

Network Scanning & Attack

Botnet de navigateurs

Les API offertes par le navigateur

Authentification et Gestion des sessions

Authentification via http

HTTP Basic et Digest

Formulaire HTML

Authentification par mot de passe

Attaques sur la mire d’authentification

Gestion de sessions authentifées

Vol d’un jeton de session

Jeton prédictible

Bruteforce d’un jeton de session

Les "Client-Side Sessions"

Protection des cookies

Protection de l'ID de session

Authentification et Journalisation

Session Fixation

Autres canaux d’attaque

Autre méthode d’authentification

Gestion des autorisations

Protection

Protection du canal de communication

Pourquoi HTTPS ?

Protection des échanges réseau SSL/TLS ?

Une histoire de confiance

Le MiTM HTTPS

Configuration SSL/TLS ?

BEAST, TIME, CRIME

HTTPS

Configuration système et mise à jour des composants

Défauts de configuration de sécurité

Défauts de mise à jour

Sécurité des navigateurs

Navigateur et plugins

Architecture d’un navigateur

Les extensions des navigateurs

Défense en profondeur

Identification des risques

Défense en profondeur

Sécurité au niveau projet

Sécurité au niveau code

Cycle de développement

Formation

Tests

Tests: outils

Moindre privilège

Gestion des comptes MySQL

Configuration de l’interpréteur : exemple PHP

Journalisation

Communication