Paris, Toulouse, Biarritz, Bordeaux, Aix-en-Provence
+33 5 61 34 39 80
contact@iform.fr

Catalogue de formations

Apprendre sous un autre angle.

Sécurité de vos applications Web

Dernière mise à jour : 20/01/2021

Description
Module 1 : Introduction
  • Statistiques et évolution des failles liées au Web selon IBM X-Force et OWASP.
  • Evolution des attaques protocolaires et applicatives.
  • Le monde des hackers : qui sont-ils ? Quels sont leurs motivations, leurs moyens ?

Module 2 : Constituants d'une application Web
  • Les éléments d'une application N-tiers.
  • Le serveur frontal HTTP, son rôle et ses faiblesses.
  • Les risques intrinsèques de ces composants.
  • Les acteurs majeurs du marché.

Module 3 : Le protocole HTTP en détail
  • Rappels TCP, HTTP, persistance et pipelining.
  • Les PDU GET, POST, PUT, DELETE, HEAD et TRACE.
  • Champs de l'en-tête, codes de status 1xx à 5xx.
  • Redirection, hôte virtuel, proxy cache et tunneling.
  • Les cookies, les attributs, les options associées.
  • Les authentifications (Basic, Improved Digest…).
  • L'accélération http, proxy, le Web balancing.
  • Attaques protocolaires HTTP Request Smuggling et HTTP Response splitting.
Atelier : Installation et utilisation de l'analyseur réseau Wireshark. Utilisation d'un proxy d'analyse HTTP spécifique.

Module 4 : Les vulnérabilités des applications Web
  • Pourquoi les applications Web sont-elles plus exposées ?
  • Les risques majeurs des applications Web selon l'OWASP (Top Ten 2010).
  • Les attaques “Cross Site Scripting” ou XSS – Pourquoi sont-elles en pleine expansion ? Comment les éviter ?
  • Les attaques en injection (Commandes injection, SQL Injection, LDAP injection…).
  • Les attaques sur les sessions (cookie poisonning, session hijacking…).
  • Exploitation de vulnérabilités sur le frontal HTTP (ver Nimda, faille Unicode…).
  • Attaques sur les configurations standard (Default Password, Directory Transversal…).

Atelier : Attaque Cross Site Scripting. Exploitation d'une faille sur le frontal http. Contournement d'une authentification par injection de requête SQL.

Module 5 : Le firewall réseau dans la protection d'applications HTTP
  • Le firewall réseau, son rôle et ses fonctions.
  • Combien de DMZ pour une architecture N-Tiers ?
  • Pourquoi le firewall réseau n'est pas apte à assurer la protection d'une application Web ?

Module 6 : Sécurisation des flux avec SSL/TLS
  • Rappels des techniques cryptographiques utilisées dans SSL et TLS.
  • Gérer ses certificats serveurs, le standard X509.
  • Qu'apporte le nouveau certificat X509 EV ?
  • Quelle autorité de certification choisir ?
  • Les techniques de capture et d'analyse des flux SSL.
  • Les principales failles des certificats X509.
  • Utilisation d'un reverse proxy pour l'accélération SSL.
  • L'intérêt des cartes crypto hardware HSM.
Atelier : Mise en oeuvre de SSL sous IIS et Apache. Attaques sur les flux HTTPS avec sslstrip et sslsnif.

Module 7 : Configuration du système et des logiciels
  • La configuration par défaut, le risque majeur.
  • Règles à respecter lors de l'installation d'un système d'exploitation.
  • Linux ou Windows. Apache ou IIS ?
  • Comment configurer Apache et IIS pour une sécurité optimale ?
  • Le cas du Middleware et de la base de données. Les V.D.S. (Vulnerability Detection System).
Atelier : Procédure de sécurisation du frontal Web (Apache ou IIS).

Module 8 : Principe du développement sécurisé
  • Sécurité du développement, quel budget ?
  • La sécurité dans le cycle de développement.
  • Le rôle du code côté client, sécurité ou ergonomie ?
  • Le contrôle des données envoyées par le client.
  • Lutter contre les attaques de type “Buffer Overflow”.
  • Les règles de développement à respecter.
  • Comment lutter contre les risques résiduels : Headers, URL malformée, Cookie Poisoning… ?



Module 9 : L'authentification des utilisateurs
  • L'authentification via HTTP : Basic Authentication et Digest Authentication ou par l'application (HTML form).
  • L'authentification forte : certificat X509 client, Token SecurID, ADN digital Mobilegov…
  • Autres techniques d'authentification par logiciel : CAPTCHA, Keypass, etc.
  • Attaque sur les mots de passe : sniffing, brute force, phishing, keylogger.
  • Attaque sur les numéros de session (session hijacking) ou sur les cookies (cookie poisoning).
  • Attaque sur les authentifications HTTPS (fake server, sslsniff, X509 certificate exploit…).

Atelier : Attaque “Man in the Middle” sur l'authentification d'un utilisateur et vol de session (session hijacking).

Module 10 : Le firewall “applicatif”
  • Reverse-proxy et firewall applicatif, détails des fonctionnalités.
  • Quels sont les apports du firewall applicatif sur la sécurité des sites Web ?
  • Insérer un firewall applicatif sur un système en production. Les acteurs du marché.
Atelier : Mise en oeuvre d'un firewall applicatif. Gestion de la politique de sécurité. Attaques et résultats.
Objectifs de la formation
  • Évaluer les risques internes et externes liés à l'utilisation d'Internet
  • Identifier les différentes solutions pour mettre en oeuvre la sécurité d'un serveur Web
  • Comprendre comment garantir la fiabilité et la confidentialité des données grâce aux différentes solutions sécurisantes
  • Être capable de mettre en oeuvre une politique de sécurité fiable sur un serveur Apache ou IIS
Public visé
  • Responsable sécurité
  • Chef de projets
  • Développeur Web
  • Administrateur de serveur Web
Prérequis
  • Connaissances en administration Linux ou Windows
  • Connaissances des réseaux et protocoles TCP/IP
Modalités pédagogiques
Inter-Entreprises
Intra-Entreprises et sur-mesure
Moyens et supports pédagogiques
Salle de formation équipée :
- un poste informatique par apprenant
- un bloc-notes + stylo
- un support de cours
- un espace de partage en ligne
- un vidéoprojecteur
- un tableau blanc
- connexion Internet
Modalités d'évaluation et de suivi
Questionnaire en ligne permettant l'évaluation des pré-requis.
Questionnaire de satisfaction de fin de stage.




 

 

M'inscrire à la formation

Lieu :
Balma
Salle à définir - AIX - 970, rue René Descartes Horizon Ste-Victoire Bat B 13100 Aix en Provence FRANCE
Balma
Salle à définir - AIX - 970, rue René Descartes Horizon Ste-Victoire Bat B 13100 Aix en Provence FRANCE
Détail des horaires :
Ajouter au panier
Prochaines Sessions
  • 03/05/21 → 06/05/21 Balma
  • 03/05/21 → 06/05/21 Aix en Provence
  • 30/08/21 → 02/09/21 Balma
  • 30/08/21 → 02/09/21 Aix en Provence

Catalogue de formation propulsé par Dendreo,
logiciel spécialisé pour centres et organismes de formation