Objectifs pédagogiques / Compétences visées
- Expliquer les vulnérabilités affectant les applications Web
- Développer des applications sécurisées en utilisant les frameworks JavaScript.
Niveau requis
Avoir des connaissances en développement d'application en langage JavaScript.
Public concerné
Pentesters et développeurs.
Programme
Jour 1
Fondamentaux de la sécurité Web
- Rappels sur HTTP
- Le modèle de sécurité des applications Web
- La gestion de sessions
- Authentification et contrôle d'accès
- Durcissement d'une application
Exemples de travaux pratiques (à titre indicatif)
- Démonstration d'un durcissement client / serveur
- Analyse des trames HTTP
Le Top 10 OWASP
- Généralités et les risques selon l'OWASP
- Les injection
- Broken authentication
- Sensitive Data Exposure
- XXE
- Broken Access Control
- Security misconfiguration
- Insecure Deserialization
- Utilisation de composants avec les vulnérabilités connues
- Insufficient logging et monitoring
Exemple de travaux pratiques (à titre indicatif)
- Challenge Web client / serveur
Jour 2
Sécurité du client
- Les attaques Cross-Site Scripting (XSS)
- Les attaques Cross-Site Request Forgery (CSRF)
- Les protections Angular JS contre XSS
- Les protections Angular JS contre CSRF
Exemple de travaux pratiques (à titre indicatif)
- Démonstration des attaques XSS et CSRF
Gestion des sessions
- Authentification Web
- HTTP basic
- Forms Authentication Module
- Integrated Windows Authentication
- Méthode Application_Authenticate Request
- Rôles et permissions
- URL Authorization Module
- Security Attributes
Modalités d’évaluation des acquis
- En cours de formation, par des études de cas ou des travaux pratiques
- Et, en fin de formation, par un questionnaire d'auto-évaluation ou une certification (M2i ou éditeur)