Résumé

​

Apprendre à concevoir, programmer, sécuriser et auditer ses sites et applications web.

​

L'infrastructure Web expose directement votre société aux menaces externe. Renforcez vos défenses en sécurisant efficacement tous les vecteurs exploités par les attaquants !

​

​

Contenu du cours

La sécurité du web

• Les motivations des attaquants

• Analyse de risques

 

Architecture sécurisée

• Le cloisonnement

• Le bastion

• Le filtrage

• La détection

• Le cloud et la conteneurisation

 

Les mécanismes du Web

• Rappels sur HTTP

• Les méthodes HTTP

 

La sécurité du navigateur

• Same Origin Policy

• Communication "cross-domain"

• Les entêtes de sécurité

 

Reconnaissance et fuite d'informations

• Cartographie et vérification des cibles

• Le scan de ports

• L'analyse de l'environnement

• La cartographie du site

• Le back office

• Open Source Intelligence

• Le scan de vulnérabilités

 

Les processus d'authentification

• Les méthodes d'authentification HTTP

• uni facteur

• multi facteur

• Délégation/fédération

• Le SSO

• Les attaques sur l'authentification

 

La gestion des sessions

• Les jetons de session

• Les cookies

• Forge de requêtes inter-sites (CSRF)

• Fixation de session

• Forge de jetons de session

• Le cloisonnement des sessions

 

Les injections

• Les injections coté client

• L'injection XSS

• Les injections côté serveur

• Les injections de commandes

• La SSRF

• L'injection XXE

• L'injection SQL

• Quelques injections moins fréquente (XPath, LDAP)

• Les injections via sérialisation/désérialisation

 

Les injections de fichiers

• Le téléversement de fichiers

• Les inclusions de fichiers locaux et distants

 

La sécurité des communications

• HTTPS, SSL, TLS

• Dissection d'une suite cryptographique

• Les vulnérabilités

• Recommandations

• Audits et contrôles

• La PKI

 

La sécurité des données stockées

• Le stockage sécurisé des données sensibles

• La blockchain

• Auditer la sécurité des données stockées

 

Les Webservices

• Le fonctionnement des Webservices

• La sécurité des Webservices

 

Les vulnérabilités plus complexes

• Tour d'horizon

• Attaques sur la mémoire (buffer overflow)

• Heartbleed

 

La sécurité du serveur

• Durcissement du socle

• Durcissement de l'applicatif web

 

Sécurité et processus de développement

• Secure SDLC

• Notions d'analyse de risques projet

• Développement sécurisé

• Les tests des fonctions de sécurité

• La sécurité du produit en production

• La gestion des vulnérabilités

• La gestion des patchs

 

Les autres mesures de sécurité

• PRA/PCA

• La gestion des acteurs tierces

​

Les concepts essentiels développés dans la formation sont illustrés au travers de mises en pratique sur PC permettant d'acquérir des compétences concrètes applicables en entreprise.

​

Validation des acquis

​

A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après midi de formation.

​

​

Financements

​

- Plan de développement des compétences (OPCO)

- France Travail (ex Pôle Emploi)

- Fonds propres de l'entreprise ou de la personne

- CPF : non pris en charge 

​

Handicap

​

Nos formations sont accessibles aux personnes en situation de handicap.

Un questionnaire envoyé en amont de la formation invite les participants à nous contacter s’ils ont besoins d’aménagements spécifiques en lien avec leur situation de handicap. Nous nous employons à rechercher, avec les personnes concernées, les moyens de compensation qui leur seront adaptés.

Pour en valider l'accès merci de nous contacter contact@formation-IT.org

​​