Sécurité des applications Web
Auditer et sécuriser ses applications Web
Formation créée le 17/08/2021. Dernière mise à jour le 17/09/2023.Version du programme : 1
Taux de satisfaction des apprenants
9,7/10
(3 avis)
Type de formation
Formation mixteDurée de formation
35 heures (5 jours)Accessibilité
OuiSécurité des applications Web
Auditer et sécuriser ses applications Web
À l'issue de cette formation les stagiaires sauront auditer des applications Web et mettre en place les éléments techniques afin de les sécuriser.
Objectifs de la formation
- Savoir réaliser un test d'intrusion sur les applications Web
- Mettre en place des contre-mesures pour sécuriser les applications Web
Profil des bénéficiaires
Pour qui
- Développeur d'applications Web
- Responsable de la sécurité du système d'information
- Responsable de projet de développement d'applications Web
Prérequis
- Connaissance des langages les plus courant pour le développement d'application Web (HTML5, CSS3, Javascipt, PHP, Python ou autres)
- Connaissance de base sur les bases de données (MySQL, MSSQL, PostgreSQL, autres)
- Connaissance de base sur les serveurs Web les plus courants
Contenu de la formation
Rappel sur les technologies du Web et leur évolution
- Historique
- Les langages les plus utilisés
- Les frameworks
- Les CMS
Tour d’horizon des attaques sur le web
- Qui? Pourquoi? Comment?
- Les cibles les plus courantes
- Les secteurs les plus visés
Classification des attaques Web
- Présentation de l’OWASP
- Classification des dix attaques les plus courantes (Top 10 OWASP)
Installation et configuration d’un serveur Web et d'une base de données
- Procédure d'installation
- Les éléments de sécurité dans les fichiers de configuration
Outils utiles pour les audits
- Les outils inclus dans les navigateurs
- Utilisation d’un proxy local (ZAP, BurpSuite)
- Utilisation d’addons (Tamper Data, Web developper, etc)
Passage des contrôle côté client
- Les failles XSS
- Technique d’hameçonnage par injection dans l’URL
- Passage des CAPTCHA
- Les bonnes pratiques d’authentifications
- Bonne pratique et règle de sécurité pour les contrôles côté client
Les injections SQL classiques
- Rappels sur les bases de données
- Principe des injections SQL
- Injections SQL avancées
- Exemples et exercices
Les injections SQL en aveugle
- Principes
- Exploitation
- Exemples et exercices
Détection et exploitation des injections SQL
- Outils de détection
- Limite des outils automatique et semi-automatique
- Exercices d'application
Se prémunir des injections SQL
- Au cours du développement
- Pour un produit déjà développé
La faille Upload
- Passage des extensions et types MME
- Mise en place d’un shell
- Saturation du serveur
- Contre mesure
La faille XXE
- Principe
- Mise en place et exploitation
- Comment se protéger
Synthèse sur les contre-mesures
- Bien développer son application Web
- Utiliser un Waf logiciel et/ou matériel Exemple avec le mod_security d'Apache
- Les règles préconisées par l'OWASP
Atelier d'audit
Équipe pédagogique
L'équipe pédagogique est constituée de formateurs qui réalisent régulièrement des tests d'intrusions sur les systèmes d'information. Ils peuvent ainsi illustrer leur cours par des exemples rencontrés sur le terrain.
Les formateurs dispensent aussi régulièrement des formations pour des publics et niveaux très différents leur conférent ainsi une pédagogie solide et leur permettant de s'adapter au public visé.
Suivi de l'exécution et évaluation des résultats
- Feuilles de présence.
- Questions orales ou écrites (QCM).
- Mises en situation.
- Formulaires d'évaluation de la formation.
- Certificat de réalisation de l’action de formation.
Ressources techniques et pédagogiques
- Accueil des stagiaires dans une salle dédiée à la formation.
- Documents supports de formation projetés.
- Exposés théoriques
- Etude de cas concrets
- Quiz en salle
- Mise à disposition en ligne de documents supports à la suite de la formation.
Qualité et satisfaction
Taux de satisfaction des apprenants
9,7/10
(3 avis)
Capacité d'accueil
Entre 2 et 15 apprenants
Délai d'accès
4 semaines
Accessibilité
Si vous avez une problématique spécifique, veuillez contacter notre référent handicap benoit[at]serval-concept[dot]com. N’hésitez pas à consulter le document l’Agefiph_Organigramme_contact.pdf ou le site agefiph.fr .