Sécurité des développements Web

Les failles applicatives sont aujourd’hui les principales sources d’infections et de piratages. Selon CHECKMARX (source 2015) et GARTNER (source 2002), 75% des vulnérabilités se retrouvent dans la couche applicative. Lors des tests d’intrusion applicatifs que nous avons l’habitude de réaliser, la couche applicative permet de mener à bien ses objectifs de compromission dans 8 cas sur 10.

Cette formation en sécurité des développements Web permettra de sensibiliser vos équipes de développement aux risques et aux enjeux de la sécurité applicative en mettant en application l’ensemble des points clés du standard OWASP. Vos collaborateurs seront en mesure d’augmenter rapidement (cf. Quick Win) la qualité et la sécurité de leurs développements de façon pertinente et efficace.

Objectifs

  • Sensibiliser autour des risques liés à la sécurité des applications Web
  • Comprendre la logique d’attaque sur les couches applicatives
  • Assimiler les bonnes pratiques autour des développements
  • Prendre conscience des problématiques de sécurité en prenant la place d’un attaquant exploitant les vulnérabilités usuelles, et apprendre les méthodes de défense pour s’en protéger
Seul un ordinateur éteint, enfermé dans un coffre-fort et enterré six pieds sous terre dans un endroit tenu secret peut être considéré comme sécurisé, et encore.

— Bruce Schneier

Les participants à la formation suivent nos cours en téléprésentiel (« direct-vidéo ») depuis leur poste de travail sans avoir à installer le moindre logiciel au préalable (un simple navigateur suffit, même pour réaliser les exercices …).

Nos sessions de formation sont adaptées à un public composé de professionnels du développement qui disposent d’un emploi du temps très chargé. Nous leur proposons donc deux sessions par semaine (une session théorique et une session pratique). Chaque session dure en moyenne 2H00.

Programme de formation (16 heures)

Semaine 1 (2h de théorie + 2h de travaux pratiques)

Introduction aux risques et enjeux de la sécurité applicative

  • Quelques idées reçues
  • La couche applicative – Une surface d’attaque de choix
  • Présentation de la salle de classe virtuelle
  • Prise en main du lab pour les exercices

Rappels sur les technologies Web

  • Encodages (URL, HTML, Base64)
  • HTTP / HTTPS
  • Utilisation d’un proxy Web pour intercepter, analyser et modifier les échanges HTTP(S)

Introduction aux techniques d’attaque et aux mécanismes de défense

  • Présentation de l’OWASP (guides, outils et standard TOP 10 de l’OWASP Web)
  • Attaques et mécanismes de défense
  • Utilisation du scanner de vulnérabilité OWASP ZAP
Semaine 2 (2h30 de théorie + 2h de travaux pratiques)

Connaissance de l’application

  • Axes de fuite d’informations techniques
  • Utilisation d’outils de “Crawling” et d’outils de collecte d’information

Authentification

  • Mécanismes d’authentification les plus rencontrés
  • Failles / Attaques qui ciblent le mécanisme d’authentification
  • Moyens de défense permettant de sécuriser le mécanisme d’authentification
  • “Brute-force” d’un mécanisme d’authentification
  • Interception de données en transit (Sniffing)

Gestion de la session

  • Rappel autour des sessions
  • Failles / Attaques qui ciblent le mécanisme de gestion de la session
  • Moyens de défense permettant de sécuriser le mécanisme de gestion de la session
  • Exploitation de la faille permettant la fixation de session

Gestion des autorisations

  • Droits horizontaux et droits verticaux
  • Failles / Attaques qui ciblent le mécanisme de gestion des autorisations
  • Attaques de type Cross-Site Request Forgery (CSRF)
  • Attaques de type File Inclusion (RFI / LFI) et Path Traversal
  • Moyens de défense permettant de sécuriser le mécanisme de gestion des autorisations
  • Exploitation d’une faille de type Path Traversal
Semaine 3 (2h de théorie + 2h30 de travaux pratiques)

Injection de code – Gestion des entrées utilisateurs

  • Les différents types d’attaques permettant l’injection de code (SQL, HQL, LDAP, commandes, etc.) et le principe général de ce type d’attaque
  • Moyens de défense permettant de sécuriser vos entrées utilisateurs
  • Exploitation de failles de type Injection SQL manuellement et de façon automatique (via l’utilisation d’un outil)

Attaques ciblant d’autres utilisateurs – Gestion des sorties utilisateurs

  • Attaques de type Cross-Site Scripting (XSS)
  • Le cas des clients riches JavaScript (Angular, Backbone, Ember, NodeJS, etc.)
  • Moyens de défense permettant de sécuriser la navigation de vos utilisateurs et de se protéger contre l’injection de code HTML / JavaScript
  • Mise en oeuvre de différent scénarios d’attaques reposant sur l’exploitation d’une faille de type Cross-Site Scripting (modification de l’affichage, vol de session, redirection arbitraire, etc.)
Semaine 4 (3h de théorie)

Journalisation des évènements de sécurité

  • Principe et enjeux de la journalisation des évènements de sécurité
  • Stockage d’informations sensibles dans les journaux et attaques de type injection de “logs”
  • Axes de prévention et bonnes pratiques dans le domaine

Gestion des erreurs et des exceptions

  • Principe et enjeux de la gestion des erreurs et des exceptions
  • Axes de prévention et bonnes pratiques dans le domaine

Introduction à la cryptographie

  • Principes de base de la cryptographie (chiffrement symétrique et asymétrique, Hashage, Signature, Certificat)
  • Bonnes pratiques dans le domaine

Sécurité des Services Web

  • Services Web SOAP et REST
  • Failles des Services Web SOAP
  • Failles des Services Web REST
  • Axes de prévention et bonnes pratiques dans le domaine
  • Formation individuelle : 1280 € HT
  • Formation dédiée pour une entreprise et ses équipes de développement (15 participants max par session) :  Demander un devis
  • Personnes ayant un profil technique (développeurs / architectes / chefs de projet) souhaitant acquérir les connaissances suffisantes pour sécuriser leurs développements Web
  • Expérience en programmation, idéalement en développement Web
  • Connexion ADSL a minima (>1Mps)
  • QCM
  • Certification de suivi de la formation Sécurité des développements Web

En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer