Sécurité des serveurs et des applications Web

Réf. : DN-33431
Durée : 5 jours
Tarif : 3780,00  HT

Toutes nos formations sont disponibles en présentiel ou en distanciel.

Objectifs

A l’issue de la formation, vous serez capable de :

  • Comprendre les vulnérabilités les plus fréquentes du web
  • Analyser les risques encourus
  • Dresser un diagnostic complet de sa sécurité
  • Appliquer les contre-mesures effectives
  • Maîtriser le processus de développement

Contenu de la formation

1 Introduction aux risques et aux enjeux de la sécurité applicative
  • Quelques idées reçues
  • La couche applicative – Une surface d’attaque de choix
  • Prise en main de l’environnement de travaux pratiques
 2 Rappels sur les technologies web
  • Encodages (URL, HTML, Base64)
  • HTTP / HTTPS
  • Utilisation d’un proxy Web pour intercepter, analyser et modifier les échanges HTTP(S)
3  Introduction aux techniques d’attaque et aux mécanismes de défense
  • Présentation de l’OWASP (guides, outils et TOP 10 de l’OWASP Web)
  • Attaques et mécanismes de défense
  • Utilisation du scanner de vulnérabilité OWASP ZAP
 4 La phase de reconnaissance utilisée avant d’attaquer une application
  • Axes de fuite d’informations techniques
  • Utilisation d’outils de “Crawling” et d’outils de collecte d’information
 5 Le mécanisme de gestion de l’authentification (attaque et défense)
  • Mécanismes d’authentification les plus rencontrés
  • Failles / Attaques qui ciblent le mécanisme d’authentification
  • Moyens de défense permettant de sécuriser le mécanisme d’authentification
  • “Brute-force” d’un mécanisme d’authentification
  • Interception de données en transit (Sniffing)
6 Le mécanisme de gestion de la session (attaque et défense)
  • Rappel autour des sessions
  • Failles / Attaques qui ciblent le mécanisme de gestion de la session
  • Moyens de défense permettant de sécuriser le mécanisme de gestion de la session
  • Exploitation de la faille permettant la fixation de session
 7 Le mécanisme de gestion des autorisations (attaque et défense)
  • Droits horizontaux et droits verticaux
  • Failles / Attaques qui ciblent le mécanisme de gestion des autorisations
  • Attaques de type Cross-Site Request Forgery (CSRF)
  • Attaques de type File Inclusion (RFI / LFI) et Path Traversal
  • Moyens de défense permettant de sécuriser le mécanisme de gestion des autorisations
  • Exploitation d’une faille de type Path Traversal
 8 La gestion des entrées utilisateurs (injection de code)
  • Les différents types d’attaques permettant l’injection de code (SQL, HQL, LDAP, commandes, etc.) et le principe général de ce type d’attaque
  • Moyens de défense permettant de sécuriser vos entrées utilisateurs
  • Exploitation de failles de type Injection SQL manuellement et de façon automatique (via l’utilisation d’un outil)
 9 Les attaques ciblant les autres utilisateurs (attaque de type cross-site)
  • Attaques de type Cross-Site Scripting (XSS)
  • Le cas des clients riches JavaScript (AngularJS, Backbone, Ember, NodeJS, ReactJS, etc.)
  • Moyens de défense permettant de sécuriser la navigation de vos utilisateurs et de se protéger contre l’injection de code HTML / JavaScript
  • Mise en œuvre de différents scénarios d’attaques reposant sur l’exploitation d’une faille de type Cross-Site Scripting (modification de l’affichage, vol de session, redirection arbitraire, etc.)
10 Sécurité de la journalisation, de la gestion des erreurs et des exceptions
  • Principe et enjeux de la journalisation des évènements de sécurité
  • Stockage d’informations sensibles dans les journaux et attaques de type injection de “logs”
  • Principe et enjeux de la gestion des erreurs et des exceptions
  • Axes de prévention et bonnes pratiques dans le domaine
 11  Sécurité des services web (Front end JavaScript, API SOAP & REST)
  • Front-end à base de clients riches JavaScript
  • Les failles des clients riches JavaScript
  • Services Web SOAP et REST
  • Failles des Services Web SOAP et des Services REST
  • Axes de prévention et bonnes pratiques dans le domaine
Fin de session 
  • Evaluation des acquis par QCM
Autres formations disponible au catalogue  :

 

Public

  • Personnes ayant un profil technique souhaitant acquérir les connaissances suffisantes pour sécuriser leurs développements Web  tel que :
  • DevSecOps,Programmeurs,Développeurs,Architectes reseaux ,Chefs de projet,Consultants cybersécurité

Pré-requis

Aucun prérequis. Des notions d’utilisation d’une distribution Linux est un plus

Méthodes pédagogiques

La méthode pédagogique se fonde sur les 2 axes suivants :

  • Cours magistral illustré par des exercices guidés pas à pas
  • Résolution de challenges de sécurité réaliste de type Capture The Flag (CTF)
Réf. : DN-33431
Durée : 5 jours
Tarif : 3780,00  HT
Partager cette formation
Facebook
Twitter
LinkedIn

Demande de devis

*Sous réserve de maintien de la session
Session ouverte à partir de 3 participants
Format Paris - Lille
Durée 5 jours
Prix 3780 € HT
Demande de devis
Format Dans vos locaux ou à distance
Durée 5 jours
Prix Nous contacter
Demande de devis

Vous souhaitez une formation sur-mesure ou vous disposez d’un cahier des charges ?

Nous contacter

Prochaines sessions

03/06/2024
08/07/2024
23/09/2024
21/10/2024
02/12/2024

*Sous réserve de maintien de la session
Sessions inter entreprises ouvertes à partir de 3 participants
Intra : base tarifaire pour un groupe de 3 personnes

Nouvelles formations

Dernières actualités

Nous contacter

Nous suivre