Sécurité des applications web

  • DURÉE 3 jours
  • EXAMEN Pas d'examen
  • PRIX 2450€ HT
  • LIEU PARIS Madeleine
Inscrivez-vous à la session du XX/XX au XX/XX

Inscription candidat

*Afin d'obtenir votre devis immédiatement veuillez compléter tous les champs ci-dessous

Informations entreprise

Informations stagiaires1

x Retirer

Ajouter un stagiaire

Cette formation de 3 jours offrira aux stagiaires une vision panoramique des menaces visant les applications web, ainsi que les mesures concrètes à mettre en oeuvre pour s'en protéger.

OBJECTIFS

  • Découvrir les différentes menaces du Web.
  • Comprendre les injections (SQL, LDAP, XSS...).
  • Comprendre les vulnérabilités XSS.
  • Découvrir les attaques par authentification et gestion de sessions.
  • Savoir mettre en oeuvre des mécanismes de protection et de défense en profondeur.

DESCRIPTION

Dans une ambiance sympathique favorisant les échanges, cette formation permettra aux stagiaires d'identifier les vulnérabilités web et de mettre en place les protections appropriées. A l'issue de la formation, les stagiaires seront capables :

  • d'identifier et contrer les vulnérabilités par injections (SQL, LDAP, Xpath, XQuery, XXE, SSJS),
  • d'identifier et contrer les vulnérabilités XSS (injections, vols de cookies, pages malveillantes, attaques, CSRF, Click jacking, framing attacks...),
  • d'identifier et contrer les attaques d'authentification et de gestion des sessions (Http basic et Digest, formulaires, mots de passe, vol de jetons, bruteforce de jetons...),
  • de protéger les canaux de communication (https, SSL/TLS... mises à jour),
  • de sécuriser un navigateur web,
  • de mettre en place des mesures de défense en profondeur (sécurité niveau projet, développement sécurisé, formation, tests, gestion des comptes MySQL...).

PUBLIC CONCERNÉ

  • RSSI
  • Consultants en sécurité
  • Développeurs web
  • Administrateurs réseaux

PRÉREQUIS

Connaissances en réseau et développement web.

PLAN DE COURS

Introduction

Histoire et évolution du Web

Contexte: Les technos WEB sont omniprésentes

Modèle Web Standard

Architecture de la pile web

Le code serveur

Les Cookies

Architecture d’une application web

Fonctionnement d’un navigateur internet

Les langages du web

La sécurité des navigateurs internet

Les enjeux du Web

Les protocoles du Web

Menaces sur le Web et sécurité

L'OWASP

Les vulnerabilités par injections

Les Injections

Comment réaliser une injection ?

Injection SQL

Injection SQL : Auth bypass

Injection SQL : vol de données

Injection SQL : vol de données en aveugle

Injection NoSQL

SSJS

Injection XPath et XQuery

Injection LDAP

Injection « Server Side Include »

Injection XXE (XML External Entity)

Injection dans l’interpréteur

Prévention

Limitations Références aux objets internes

Injection Path Traversal

Upload de fichiers

Les WebShells

Prévention

Redirection vers un site externe

Redirection vers un site interne

Protection

Les vulnérabilités XSS

XSS ?

Injection XSS Stockée

Injection XSS Reflétée (non permanente)

XSS traditionnelle ou DOM-based

Attaque : Vol des cookies de Session

Attaque : Contrôle de la page à distance

Exemple du vers Tweetdeck

Exemple du vers MySpace

Prévention

Cas d’exemple : RTE

Une histoire de contexte

CSP : Eradication / Limitation des XSS

Attaque depuis une page malveillante

Les attaques de type « cross-site request forgery »

Les risques de la CSRF

Protection contre les CSRF

Le token CSRF

X-Requested-With: XMLHttpRequest

Pour les utilisateurs

Le Click Jacking

Catégorie d’attaque générique : les Framing Attacks

Le navigateur comme plateforme d’attaque

Les navigateurs en entreprise

Network Scanning

Network Scanning & Attack

Botnet de navigateurs

Les API offertes par le navigateur

Authentification et Gestion des sessions

Authentification via http

HTTP Basic et Digest

Formulaire HTML

Authentification par mot de passe

Attaques sur la mire d’authentification

Gestion de sessions authentifées

Vol d’un jeton de session

Jeton prédictible

Bruteforce d’un jeton de session

Les "Client-Side Sessions"

Protection des cookies

Protection de l'ID de session

Authentification et Journalisation

Session Fixation

Autres canaux d’attaque

Autre méthode d’authentification

Gestion des autorisations

Protection

Protection du canal de communication

Pourquoi HTTPS ?

Protection des échanges réseau SSL/TLS ?

Une histoire de confiance

Le MiTM HTTPS

Configuration SSL/TLS ?

BEAST, TIME, CRIME

HTTPS

Configuration système et mise à jour des composants

Défauts de configuration de sécurité

Défauts de mise à jour

Sécurité des navigateurs

Navigateur et plugins

Architecture d’un navigateur

Les extensions des navigateurs

Défense en profondeur

Identification des risques

Défense en profondeur

Sécurité au niveau projet

Sécurité au niveau code

Cycle de développement

Formation

Tests

Tests: outils

Moindre privilège

Gestion des comptes MySQL

Configuration de l’interpréteur : exemple PHP

Journalisation

Communication

S’inscrire à une session
  • 09/10 au 11/10
  • 20/11 au 22/11
  • 21/03 au 23/03/2018
  • 25/04 au 27/04
  • 26/09 au 28/09
  • 14/11 au 16/11
Toutes les dates
Moins de dates

Informations pratiques

La formation est assurée par un professionel de la sécurité applicative.

  • Le coût de la formation inclut les supports de cours ainsi que les repas du midi.
  • 564
    personnes formées chez Sekoia Formation
  • 9
    experts et professionnels de la Sécurité des Systèmes d’Information.
  • 96
    sessions inter-entreprise et intra-entreprise
  • 89%
    des personnes formées aux formations certifiantes ayant réussi l'examen au premier passage
Retrouvez toute notre actualité :
Sekoia - 18, 20 place de la Madeleine
75008 Paris


MMadeleine
Tél. +33 1 44 43 54 13
Powered by
N° Formateur : 11 75 53477 75 | TVA Intracommunautaire: FR 28 502 067 705
©Sekoia 2017 | RCS Paris: 502 067 705 00033 | www.sekoia.fr | CERT Sekoia