> Formations > Technologies numériques > Cybersécurité > Sécurité applicative > Formation Sécurité des applications Web > Formations > Technologies numériques > Formation Sécurité des applications Web

Formation : Sécurité des applications Web

Sécurité des applications Web



Best Clé en main
Formation éligible au financement Mobilités

L'intrusion sur les serveurs de l'entreprise représente un risque majeur. Il est essentiel de comprendre et d'appliquer les technologies et les produits permettant d'apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d'un service en ligne à partir d'exemples concrets d'attaques et de ripostes adaptées.


INTER
INTRA
SUR MESURE

Cours pratique en présentiel ou en classe à distance
Disponible en anglais, à la demande

Réf. SER
  3j - 21h00
Prix : 2440 € H.T.
Pauses-café et
déjeuners offerts
Financements




L'intrusion sur les serveurs de l'entreprise représente un risque majeur. Il est essentiel de comprendre et d'appliquer les technologies et les produits permettant d'apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d'un service en ligne à partir d'exemples concrets d'attaques et de ripostes adaptées.


Objectifs pédagogiques
À l’issue de la formation, le participant sera en mesure de :
Identifier les vulnérabilités les plus courantes des applications Web
Comprendre le déroulement d'une attaque
Mettre en place des mesures de sécurisation simples pour les applications Web
Configurer un serveur Web pour chiffrer le trafic Web avec HTTPS
Tester la sécurité de ses applications Web

Public concerné
Administrateurs réseaux, systèmes, Webmaster.

Prérequis
Connaissances de base en systèmes, réseaux et d'Internet.
Vérifiez que vous avez les prérequis nécessaires pour profiter pleinement de cette formation en faisant  ce test.

Méthodes et moyens pédagogiques
Travaux pratiques
Des sites en ligne sécurisés et protégés (firewall multi-DMZ) seront déployés, une accélération SSL, un proxy d'analyse du protocole HTTP, un injecteur de flux HTTP(S), une authentification forte par certificat, des outils d'attaques sur les flux HTTPS...

Modalités d'évaluation
Le formateur évalue la progression pédagogique du participant tout au long de la formation au moyen de QCM, mises en situation, travaux pratiques…
Le participant complète également un test de positionnement en amont et en aval pour valider les compétences acquises.

Programme de la formation

Introduction

  • Statistiques et évolution des failles liées au Web selon IBM X-Force et OWASP.
  • Evolution des attaques protocolaires et applicatives.
  • Le monde des hackers : qui sont-ils ? Quels sont leurs motivations, leurs moyens ?

Constituants d'une application Web

  • Les éléments d'une application N-tiers.
  • Le serveur frontal HTTP, son rôle et ses faiblesses.
  • Les risques intrinsèques de ces composants.
  • Les acteurs majeurs du marché.

Le protocole HTTP en détail

  • Rappels TCP, HTTP, persistance et pipelining.
  • Les PDU GET, POST, PUT, DELETE, HEAD et TRACE.
  • Champs de l'en-tête, codes de status 1xx à 5xx.
  • Redirection, hôte virtuel, proxy cache et tunneling.
  • Les cookies, les attributs, les options associées.
  • Les authentifications (Basic, Improved Digest...).
  • L'accélération HTTP, proxy, le Web balancing.
  • Attaques protocolaires HTTP Request Smuggling et HTTP Response splitting.
Travaux pratiques
Installation et utilisation de l'analyseur réseau Wireshark. Utilisation d'un proxy d'analyse HTTP spécifique.

Les vulnérabilités des applications Web

  • Pourquoi les applications Web sont-elles plus exposées ?
  • Les risques majeurs des applications Web selon l'OWASP (Top Ten 2021).
  • Les attaques "Cross Site Scripting" ou XSS - Pourquoi sont-elles en pleine expansion ? Comment les éviter ?
  • Les attaques en injection (Commandes injection, SQL Injection, LDAP injection...).
  • Les attaques sur les sessions (cookie poisonning, session hijacking...).
  • Exploitation de vulnérabilités sur le frontal HTTP (ver Nimda, faille Unicode...).
  • Attaques sur les configurations standard (Default Password, Directory Transversal...).
Travaux pratiques
Attaque Cross Site Scripting. Exploitation d'une faille sur le frontal http. Contournement d'une authentification par injection de requête SQL.

Le firewall réseau dans la protection d'applications HTTP

  • Le firewall réseau, son rôle et ses fonctions.
  • Combien de DMZ pour une architecture N-Tiers ?
  • Pourquoi le firewall réseau n'est pas apte à assurer la protection d'une application Web ?

Sécurisation des flux avec SSL/TLS

  • Rappels des techniques cryptographiques utilisées dans SSL et TLS.
  • Gérer ses certificats serveurs, le standard X509.
  • Qu'apporte le nouveau certificat X509 EV ?
  • Quelle autorité de certification choisir ?
  • Les techniques de capture et d'analyse des flux SSL.
  • Les principales failles des certificats X509.
  • Utilisation d'un reverse proxy pour l'accélération SSL.
  • L'intérêt des cartes crypto hardware HSM.
Travaux pratiques
Mise en œuvre de SSL (Apache ou IIS). Attaques sur les flux HTTPS avec sslstrip et sslsnif.

Configuration du système et des logiciels

  • La configuration par défaut, le risque majeur.
  • Règles à respecter lors de l'installation d'un système d'exploitation.
  • Linux ou Windows. Apache ou IIS ?
  • Comment configurer Apache et IIS pour une sécurité optimale ?
  • Le cas du Middleware et de la base de données. Les V.D.S. (Vulnerability Detection System).
Travaux pratiques
Procédure de sécurisation du frontal Web (Apache ou IIS).

Principe du développement sécurisé

  • Sécurité du développement, quel budget ?
  • La sécurité dans le cycle de développement.
  • Le rôle du code côté client, sécurité ou ergonomie ?
  • Le contrôle des données envoyées par le client.
  • Lutter contre les attaques de type "Buffer Overflow".
  • Les règles de développement à respecter.
  • Comment lutter contre les risques résiduels : Headers, URL malformée, Cookie Poisoning... ?

L'authentification des utilisateurs

  • L'authentification via HTTP : Basic Authentication et Digest Authentication ou par l'application (HTML form).
  • L'authentification forte : certificat X509 client, Token SecurID, ADN digital Mobilegov...
  • Autres techniques d'authentification par logiciel : CAPTCHA, Keypass, etc.
  • Attaque sur les mots de passe : sniffing, brute force, phishing, keylogger.
  • Attaque sur les numéros de session (session hijacking) ou sur les cookies (cookie poisoning).
  • Attaque sur les authentifications HTTPS (fake server, sslsniff, X509 certificate exploit...).
Travaux pratiques
Attaque "Man in the Middle" sur l'authentification d'un utilisateur et vol de session (session hijacking).

Le firewall "applicatif"

  • Reverse proxy et firewall applicatif, détails des fonctionnalités.
  • Quels sont les apports du firewall applicatif sur la sécurité des sites Web ?
  • Insérer un firewall applicatif sur un système en production. Les acteurs du marché.
Travaux pratiques
Mise en œuvre d'un firewall applicatif. Gestion de la politique de sécurité. Attaques et résultats.


Solutions de financement
Plusieurs solutions existent pour financer votre formation et dépendent de votre situation professionnelle.
Découvrez-les sur notre page Comment financer sa formation ou contactez votre conseiller formation.

Financement par les OPCO
  • Adhérents Mobilités, découvrez les avantages négociés par votre OPCO en cliquant ici

Avis clients
4 / 5
Les avis clients sont issus des évaluations de fin de formation. La note est calculée à partir de l’ensemble des évaluations datant de moins de 12 mois. Seules celles avec un commentaire textuel sont affichées.
JEREMY D.
21/10/24
3 / 5

Malheureusement, formation inadaptée pour un développeur .net. Il faudrait peut être revoir le détails de la formation affiché sur le site Orsys.
MATHIEU R.
21/10/24
4 / 5

Dans l’ensemble le cours était vraiment instructif, les divers principes abordés le long de la formation était intéressant, néanmoins si j’avais une critique a faire sur le contenu, ce serait les slides qui perdent un peu de leur intérêt une fois le cours passé si l’on veut revenir sur un sujet en particulier.
ALEXANDRE C.
21/10/24
4 / 5

Formation intéressante qui donne une bonne perspective de la sécurité web (et non web).Le formateur maîtrise sont sujet.Formation plutôt orienté linux (sur cette session en tout cas)



Horaires
les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45. Les pauses et déjeuners sont offerts.
Pour les stages pratiques de 4 ou 5 jours, quelle que soit la modalité, les sessions se terminent à 16h le dernier jour.

Dates et lieux
Sélectionnez votre lieu ou optez pour la classe à distance puis choisissez votre date.
Classe à distance
Dernières places
Session garantie