M2i Formation

Découvrez notre formationSécurité des applications Web

Présentiel

3 jours (21 heures) - SEC-SAW

(20)
Accueil  ›  Formations Informatique  ›  Cybersécurité  ›  Sécurité défensive  ›  Sécurité des applications Web


La formation Sécurité des applications Web vous donne les clés pour détecter les attaques et sécuriser les applications Web. Du Top 10 de l'OWASP aux nouveaux types d’attaques, vous assimilerez les méthodologies et bonnes pratiques indispensables.

Objectifs pédagogiques

  • Acquérir des compétences en programmation
  • Sécuriser efficacement un serveur Web / une application.

Niveau requis

Avoir des connaissances généralistes en programmation Web.

Public concerné

Pentesters et développeurs.

Partenaire / éditeur

Paris La Défense10/02/20201 800 € HTDates proposées dans les agences M2iRéserver
Paris La Défense20/04/20201 800 € HTDates proposées dans les agences M2iRéserver
Paris La Défense15/06/20201 800 € HTDates proposées dans les agences M2iRéserver
Paris La Défense14/09/20201 800 € HTDates proposées dans les agences M2iRéserver

Afficher plus de dates

Sessions
planifiées
Sessions
ouvertes
Sessions
confirmées
Réserver
le stage

Jour 1

Introduction

  • Panorama de la sécurité Web
  • Les normes et lois
  • Les référentiels
  • Les groupes de réflexions

Protocole HTTP

  • Client / serveur, Ajax et DOM
  • Les headers
  • Les status code
  • Les méthodes

Exemple de travaux pratiques (à titre indicatif)

  • Ouverture sur Burp Suite

Top 10 OWASP 2017

  • Mise en place du Lab
  • Introduction au top 10 OWASP, top 25 SANS et Veracode
  • Les différentes injections (SQL, LDAP, code...)
  • Authentification
    • Exposition de données sensibles

Exemples de travaux pratiques (à titre indicatif)

  • Injection SQL et injection de code
  • Verb tampering, session hijacking (MITM proxy) , brute force (cewl + Cupp.py)
  • Burp Spider, Shodan, dorks, dirbuster, inspection de code et GIT

Jour 2

  • XXE (XML eXternal Entity)
    • Sécurisation des accès
  • Mauvaise configuration de sécurité
  • Cross-Site Scripting (XSS)
    • Stored
    • Reflected
    • Dom based
  • Désérialisation non sécurisée
  • Composants vulnérables
  • Logging et monitoring

Exemples de travaux pratiques (à titre indicatif)

  • Challenge XXE
  • Elévation de privilèges (bypass CORS et cookie tamering)
  • Vulnérabilité SSRF (Server Side Request Forgery)
  • Defacing avec XSS
  • Vol de cookies via CSRF
  • Elévation de privilège via cookie sérialisé
  • Scan de vulnérabilité (WPScan, Nikto, Openvas, NMAP) et framework offensif (Metasploit)
  • DoS d'une application

Jour 3

Hardening applicatif par la pratique

  • Sécuriser une authentification (captcha et anti-bruteforce)
  • Gestion des mots de passe (salage dynamique, modification des status code)
  • Management des sessions
    • Timeout de déconnexion
    • Secure Flag
    • HTTP Only
  • Contrôle d'accès
  • Lister les rôles
    • Privilèges
    • Actions
    • Story board
  • Validation des entrées
    • Lister les entrées présentes sur une application
    • Variables
    • En-têtes HTTP
  • Encodage des entrées (HTML purifier)
  • Encodage des sorties
  • Sécuriser un upload de fichier
  • Token anti-CSRF (Cross Site Request Forgery)
  • Management des logs

Exemple de travaux pratiques (à titre indicatif)

  • Création d'une to do-list

Hardening client / serveur par la pratique

  • CSP (Content Security Policy)
  • SOP
  • CORS (Cross-Origin Resource Sharing)
  • HSTS (HTTP Strict Transport Security)
  • X-Frame option
  • DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing), WAF (Web Application Firewall), PKI et durcissement
  • Ouverture avec l'OWASP testing guide, ASVS (Application Security Verification Standard)

Testez vos connaissances

Objectif : Tester vos connaissances sur les concepts, les fondamentaux des réseaux informatiques, les équipements nécessaires à la protection d’un réseau d’entreprise, la sécurité de base et la détection d’intrusions.

Faites évoluer vos compétences

En cliquant le bouton « Accepter », vous acceptez l’utilisation de cookies pour réaliser des mesures d’audiences et vous permettre d’enregistrer vos préférences de navigation. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies.

Accepter Paramètres En savoir plus