03 66 72 48 44
Logo de l'organisme de formation

CYBERDÉFENSE, SE FORMER C'EST SE PROTÉGER !

Représentation de la formation : Sécurité des applications Web

Sécurité des applications Web

Auditer et sécuriser ses applications Web

Formation mixte
Accessible
Durée : 35 heures (5 jours)
Taux de satisfaction :
9,7/10
(3 avis)
Durée :35 heures (5 jours)
HT
Se préinscrire
Durée :35 heures (5 jours)
HT
Se préinscrire
Durée :35 heures (5 jours)
HT
Se préinscrire

Formation créée le 17/08/2021. Dernière mise à jour le 17/09/2023.

Version du programme : 1

Programme de la formation

À l'issue de cette formation les stagiaires sauront auditer des applications Web et mettre en place les éléments techniques afin de les sécuriser.

Objectifs de la formation

  • Savoir réaliser un test d'intrusion sur les applications Web
  • Mettre en place des contre-mesures pour sécuriser les applications Web

Profil des bénéficiaires

Pour qui
  • Développeur d'applications Web
  • Responsable de la sécurité du système d'information
  • Responsable de projet de développement d'applications Web
Prérequis
  • Connaissance des langages les plus courant pour le développement d'application Web (HTML5, CSS3, Javascipt, PHP, Python ou autres)
  • Connaissance de base sur les bases de données (MySQL, MSSQL, PostgreSQL, autres)
  • Connaissance de base sur les serveurs Web les plus courants

Contenu de la formation

  • Rappel sur les technologies du Web et leur évolution
    • Historique
    • Les langages les plus utilisés
    • Les frameworks
    • Les CMS
  • Tour d’horizon des attaques sur le web
    • Qui? Pourquoi? Comment?
    • Les cibles les plus courantes
    • Les secteurs les plus visés
  • Classification des attaques Web
    • Présentation de l’OWASP
    • Classification des dix attaques les plus courantes (Top 10 OWASP)
  • Installation et configuration d’un serveur Web et d'une base de données
    • Procédure d'installation
    • Les éléments de sécurité dans les fichiers de configuration
  • Outils utiles pour les audits
    • Les outils inclus dans les navigateurs
    • Utilisation d’un proxy local (ZAP, BurpSuite)
    • Utilisation d’addons (Tamper Data, Web developper, etc)
  • Passage des contrôle côté client
    • Les failles XSS
    • Technique d’hameçonnage par injection dans l’URL
    • Passage des CAPTCHA
    • Les bonnes pratiques d’authentifications
    • Bonne pratique et règle de sécurité pour les contrôles côté client
  • Les injections SQL classiques
    • Rappels sur les bases de données
    • Principe des injections SQL
    • Injections SQL avancées
    • Exemples et exercices
  • Les injections SQL en aveugle
    • Principes
    • Exploitation
    • Exemples et exercices
  • Détection et exploitation des injections SQL
    • Outils de détection
    • Limite des outils automatique et semi-automatique
    • Exercices d'application
  • Se prémunir des injections SQL
    • Au cours du développement
    • Pour un produit déjà développé
  • La faille Upload
    • Passage des extensions et types MME
    • Mise en place d’un shell
    • Saturation du serveur
    • Contre mesure
  • La faille XXE
    • Principe
    • Mise en place et exploitation
    • Comment se protéger
  • Synthèse sur les contre-mesures
    • Bien développer son application Web
    • Utiliser un Waf logiciel et/ou matériel Exemple avec le mod_security d'Apache
    • Les règles préconisées par l'OWASP
  • Atelier d'audit
Équipe pédagogique

L'équipe pédagogique est constituée de formateurs qui réalisent régulièrement des tests d'intrusions sur les systèmes d'information. Ils peuvent ainsi illustrer leur cours par des exemples rencontrés sur le terrain. Les formateurs dispensent aussi régulièrement des formations pour des publics et niveaux très différents leur conférent ainsi une pédagogie solide et leur permettant de s'adapter au public visé.

Suivi de l'exécution et évaluation des résultats
  • Feuilles de présence.
  • Questions orales ou écrites (QCM).
  • Mises en situation.
  • Formulaires d'évaluation de la formation.
  • Certificat de réalisation de l’action de formation.
Ressources techniques et pédagogiques
  • Accueil des stagiaires dans une salle dédiée à la formation.
  • Documents supports de formation projetés.
  • Exposés théoriques
  • Etude de cas concrets
  • Quiz en salle
  • Mise à disposition en ligne de documents supports à la suite de la formation.

Qualité et satisfaction

Taux de satisfaction des apprenants
9,7/10
(3 avis)

Capacité d'accueil

Entre 2 et 15 apprenants

Délai d'accès

4 semaines

Accessibilité

Si vous avez une problématique spécifique, veuillez contacter notre référent handicap benoit[at]serval-concept[dot]com. N’hésitez pas à consulter le document l’Agefiph_Organigramme_contact.pdf ou le site agefiph.fr .