Sécurité des applications Web niveau 1
Réf. SEC-DEV-01

Description de la formation

L'accès non autorisé aux serveurs de l'entreprise constitue une menace significative. Il est crucial de maìtriser et d'implémenter les technologies et solutions nécessaires pour sécuriser les applications mises en oeuvre, en mettant un accent particulier sur les applications vulnérables telles que les services extranet et les systèmes de messagerie. Cette formation, orientée vers des solutions pratiques, vous fournira les outils essentiels pour protéger un service en ligne, en s'appuyant sur des cas réels d'attaques et les stratégies de défense correspondantes.

Détails de la Formation

Financement

Moyens propres.

Objectifs

  • Comprendre le déroulement d'une attaque web
  • Identifier les vulnérabilités les plus courantes
  • Tester la sécurité d'applications web
  • Mettre en place des mesures de sécurisation simples

Prérequis

Connaissance des fondamentaux en informatique (réseaux, systèmes Windows et Linux, applications) avec des notions en cybersécurité. Manipulation autonome pour taper des commandes Linux.

Matériel requis

Le stagiaire doit avoir accès à un ordinateur qui possède un clavier, souris, écran, connexion Internet, un micro et une caméra. Sur cet ordinateur, un navigateur Web doit déjà être installé et configuré pour se connecter à distance sur la machine virtuelle donnée par le formateur. Les liens et identifiants seront donnés au début de la formation. L'accès à l'environnement de test sera effectué par le navigateur web (port TCP/443).

Durée

3 jours (21 heures)

Public concerné

Développeurs, architectes, consultants, administrateurs systèmes et réseaux.

Documents fournis à la fin de la formation

Il est remis aux stagiaires :


  • le plan de déroulement de la formation

  • le support de formation au format PDF

  • le code source des exercices

Moyens pédagogiques

Pour une formation en distanciel, nous utiliserons la visioconférence et des démonstrations en direct. Nous alternerons régulièrement théorie et pratique : chacun dispose d'un poste de travail virtuel Kali Linux pour mettre en pratique au fur et à mesure les notions abordées.
Les participants seront évalués pendant la formation à travers des exercices pratiques et des quiz.

Captures d'écran des VM:

Accessibilité

Formation en ligne accessible avec des outils d'assistance sur demande. Accessible aux personnes en situation de handicap. Contactez-nous pour vos besoins.

Conditions inscription

Inscription préalable nécessaire, au moins 2 semaines avant le début de la formation.

Programme de la Formation

JOUR 1 :
Introduction et Constituants d'une application Web


- Matin :
- Introduction aux statistiques et évolution des failles liées au Web (OWASP).
- Evolution des attaques protocolaires et applicatives.
- Le monde des hackers : identité, motivations, et moyens.
- Après-midi :
- Composants d'une application N-tiers.
- Serveur frontal HTTP : rôle et faiblesses.
- Risques intrinsèques des composants.
- Principaux acteurs du marché.
- Travaux pratiques : Installation et utilisation de l'analyseur réseau Wireshark et utilisation d'un proxy d'analyse HTTP (Burp Suite).

JOUR 2 : Le protocole HTTP et Les vulnérabilités des applications Web


- Matin :
- Détails du protocole HTTP (TCP, PDU, en-têtes, status, cookies, authentifications, HTTP Request Smuggling et HTTP Response splitting).
- Travaux pratiques : Analyse du protocole HTTP.
- Après-midi :
- Exposition aux risques des applications Web.
- Les risques majeurs selon l'OWASP.
- Attaques XSS, injections et attaques sur les sessions.
- Vulnérabilités du frontal HTTP et attaques sur configurations standard.
- Travaux pratiques : Attaque XSS, exploitation de faille sur le frontal HTTP, contournement d'authentification par injection SQL.

JOUR 3 : Sécurisation, Firewall et Développement sécurisé


- Matin :
- Firewall réseau dans la protection d'applications HTTP.
- Sécurisation des flux avec SSL/TLS.
- Configuration du système et des logiciels pour la sécurité.
- Travaux pratiques : Mise en oeuvre de SSL sous Apache et Nginx, attaques sur les flux HTTPS.
- Après-midi :
- Principe du développement sécurisé.
- L'authentification des utilisateurs.
- Le firewall "applicatif".
- Travaux pratiques : Attaque "Man in the Middle" sur l'authentification, mise en oeuvre d'un firewall applicatif.

Nombre de participants : entre 3 et 10 personnes.

Télécharger en PDF :

Vous souhaitez une session dans votre entreprise ?

Avis des participants

Moyenne : 4 / 5

NADJAT S. (15 avril 2024) : 4 / 5
pour une durée tres courte nous avons pu voir l'essentiel, le formateur donne l'essentiel et a réussi a nous fournir bcp d'informations en 3 jours

PASCAL K. (15 avril 2024) : 4 / 5
Contenu fluide néanmoins à mettre à jour. Pédagogie très appréciée, formateur très disponible.

Tarifs de la Formation

Logo formation

Tarif :2300 € HT par participant

Vous souhaitez une session dans votre entreprise ?

Prochaines Sessions

Date Type Durée Lieu Inscription
Du 22 juillet 2024 au 24 juillet 2024 Distanciel 3 jours N.A.