1

Menaces, vulnérabilités des applications Web

• Risques majeurs des applications Web selon IBM X-Force et OWASP.
• Attaques de type Cross Site Scripting (XSS), injection et sur sessions.
• Propagation de faille avec un Web Worm.
• Attaques sur les configurations standard.

2

Protocoles de sécurité SSL, TLS

• SSL v2/v3 et TLS, PKI, certificats X509, autorité de certification.
• Impact de SSL sur la sécurité des firewalls UTM et IDS/IPS.
• Failles et attaques sur SSL/TLS. Techniques de capture et d'analyse des flux SSL.
• Attaque HTTPS stripping sur les liens sécurisés.
• Attaques sur les certificats X509, protocole OCSP.
• SSL et les performances des applications Web.

3

Attaques ciblées sur l'utilisateur et le navigateur

• Attaques sur les navigateurs Web, Rootkit.
• Sécurité des Smartphones pour le surf sur le Net.
• Codes malveillants et réseaux sociaux.
• Les techniques de Social Engineering.

4

Attaques ciblées sur l'authentification

• Authentification via HTTP, SSL par certificat X509 client.
• Mettre en œuvre une authentification forte, par logiciel.
• Solution de Web SSO non intrusive (sans agent).
• Principales attaques sur les authentifications.

5

Sécurité des Web Services

• Protocoles, standards de sécurité XML Encryption, XML Signature, WS-Security/Reliability.
• Attaques d'injection (XML injection...), brute force ou par rejeu.
• Firewalls applicatifs pour les Web Services.
• Principaux acteurs et produits sur le marché.

6

Sécuriser efficacement les applications Web

• Durcissement, hardening : sécuriser le système et le serveur HTTP.
• Virtualisation et sécurité des applications Web.
• Environnements .NET, PHP et Java. Les 5 phases du SDL.
• Techniques de fuzzing. Qualifier son application avec l'ASVS.
• WAF : quelle efficacité, quelles performances ?

7

Contrôler la sécurité des applications Web

• Pentest, audit de sécurité, scanners de vulnérabilités.
• Organiser une veille technologique efficace.
• Déclaration des incidents de sécurité.