Vous êtes ici :

Formation Sécurité des serveurs et des applications Web

A distance ou en présentiel

Débutant

Sécuriser les données de l’entreprise représente un défi constant pour les administrateurs.

On peut dire que, globalement, ils disposent des compétences et des moyens pour sécuriser leur infrastructure (firewall, VPN, DMZ, etc.), mais qu’ils sont souvent beaucoup moins au fait des concepts, ou en tout cas de leurs mises en œuvre, relatifs à la sécurisation des applications Web.
De plus, que l’on parle ici de sites Web ou d’applications Web, ces éléments ne sont pas dans la culture des développeurs. Or, c’est bien là que réside une faille béante pour les pirates, les visiteurs mal intentionnés, ou simplement les utilisateurs qui peuvent involontairement déclencher des « exploits » suite à certaines séquences de travail. Et ceci malgré toutes les précautions prises au niveau des firewalls …

Cette formation Sécurité des applications, services et serveur Web vous permettra à la fois de disposer d’une culture générale sur la sécurité applicative mais aussi de connaître de façon très concrète les mécanismes d’échanges entre les différentes briques d’une application WEB (http, session, Web Service, etc.).

La mise en œuvre des différents éléments de sécurité (certificats, chiffrage, restriction http, fuites, injections, saisie, ajax, etc.) viendront donc naturellement se greffer sur les architectures applicatives sécurisées que vous mettrez en place durant cette formation et que vous serez également capable de tester et d’auditer de façon professionnelle.

À qui s'adresse cette formation ?

Cette formation Sécurité Internet s’adresse aux développeurs, testeurs, administrateurs et architectes, ou plus généralement toute personne concernée par la sécurité des applications Web au sens large (application Web, site Web, web service, etc.).

Pour suivre cette formation, il est important de posséder certaines connaissances du fonctionnement des applications web.
Des connaissances sur l’administration de serveurs web est également nécessaire.

Les objectifs de la formation

Objectif opérationnel

Apprendre à concevoir, programmer, sécuriser et auditer ses sites et applications web.

Objectifs pédagogiques

Concrètement, à l’issue de cette formation vous serez en mesure de:

  • Comprendre les vulnérabilités les plus fréquentes du web
  • Analyser les risques encourus
  • Dresser un diagnostic complet de sa sécurité
  • Appliquer les contre-mesures effectives
  • Maîtriser le processus de développement

Contenu de la formation

  • La sécurité du web

    • Les motivations des attaquants
    • Analyse de risques
  • Architecture sécurisée

    • Le cloisonnement
    • Le bastion
    • Le filtrage
    • La détection
    • Le cloud et la conteneurisation
  • Les mécanismes du Web

    • Rappels sur HTTP
    • Les méthodes HTTP
  • La sécurité du navigateur

    • Same Origin Policy
    • Communication « cross-domain »
    • Les entêtes de sécurité
  • Reconnaissance et fuite d’informations

    • Cartographie et vérification des cibles
    • Le scan de ports
    • L’analyse de l’environnement
    • La cartographie du site
    • Le back office
    • Open Source Intelligence
    • Le scan de vulnérabilités
  • Les processus d’authentification

    • Les méthodes d’authentification HTTP
    • uni facteur
    • multi facteur
    • Délégation/fédération
    • Le SSO
    • Les attaques sur l’authentification
  • La gestion des sessions

    • Les jetons de session
    • Les cookies
    • Forge de requêtes inter-sites (CSRF)
    • Fixation de session
    • Forge de jetons de session
    • Le cloisonnement des sessions
  • Les injections

    • Les injections coté client
    • L’injection XSS
    • Les injections côté serveur
    • Les injections de commandes
    • La SSRF
    • L’injection XXE
    • L’injection SQL
    • Quelques injections moins fréquentes (XPath, LDAP)
    • Les injections via sérialisation/désérialisation
  • Les injections de fichiers

    • Le téléversement de fichiers
    • Les inclusions de fichiers locaux et distants
  • La sécurité des communications

    • HTTPS, SSL, TLS
    • Dissection d’une suite cryptographique
    • Les vulnérabilités
    • Recommandations
    • Audits et contrôles
    • La PKI
  • La sécurité des données stockées

    • Le stockage sécurisé des données sensibles
    • La blockchain
    • Auditer la sécurité des données stockées
  • Les Webservices

    • Le fonctionnement des Webservices
    • La sécurité des Webservices
  • Les vulnérabilités plus complexes

    • Tour d’horizon
    • Attaques sur la mémoire (buffer overflow)
    • Heartbleed
  • La sécurité du serveur

    • Durcissement du socle
    • Durcissement de l’applicatif web
  • Sécurité et processus de développement

    • Secure SDLC
    • Notions d’analyse de risques projet
    • Développement sécurisé
    • Les tests des fonctions de sécurité
    • La sécurité du produit en production
    • La gestion des vulnérabilités
    • La gestion des patchs
  • Les autres mesures de sécurité

    • PRA/PCA
    • La gestion des acteurs tierces

Formation

A distance ou en présentiel

Référence :

SSIN

Durée :

5 jours

Ce cours est réalisable en intra-entreprise, en extra-entreprise , dans nos salles ou à distance.

Contacter notre service Intra