Nos domaines de formation :

Formation Sécurité des applications Web, synthèse

Best
Durée : 2 jours
Réf : SEW
Prix  2018 : 1910 € H.T.
Pauses et déjeuners offerts
  • Programme
  • Participants / Prérequis
  • Intra / sur-mesure
Programme

Ce séminaire dresse un panorama complet des menaces du Web. Il détaille les failles des navigateurs, réseaux sociaux et du Web 2.0, les nouvelles vulnérabilités sur SSL/TLS et certificats X509, ainsi que des applications J2EE, .NET et PHP. Il présente les solutions pour protéger, contrôler la sécurité des applications.

Objectifs pédagogiques

  • Identifier les menaces de sécurité sur les applications Web
  • Connaître les protocoles de sécurité Web
  • Comprendre les typologies d'attaque
  • Sécuriser les applications Web
PROGRAMME DE FORMATION

Menaces, vulnérabilités des applications Web

  • Risques majeurs des applications Web selon IBM X-Force IBM et OWASP.
  • Attaques de type Cross Site Scripting (XSS), injection et sur sessions.
  • Propagation de faille avec un Web Worm.
  • Attaques sur les configurations standard.

Protocoles de sécurité SSL, TLS

  • SSL v2/v3 et TLS, PKI, certificats X509, autorité de certification.
  • Impact de SSL sur la sécurité des firewalls UTM et IDS/IPS.
  • Failles et attaques sur SSL/TLS. Techniques de capture et d'analyse des flux SSL.
  • Attaque HTTPS stripping sur les liens sécurisés.
  • Attaques sur les certificats X509, protocole OCSP.
  • SSL et les performances des applications Web.

Attaques ciblées sur l'utilisateur et le navigateur

  • Attaques sur les navigateurs Web, Rootkit.
  • Sécurité des Smartphones pour le surf sur le Net.
  • Codes malveillants et réseaux sociaux.
  • Les dangers spécifiques du Web 2.0.
  • Les techniques de Social engineering.

Attaques ciblées sur l'authentification

  • Authentification via HTTP, SSL par certificat X509 client.
  • Mettre en oeuvre une authentification forte, par logiciel.
  • Solution de Web SSO non intrusive (sans agent).
  • Principales attaques sur les authentifications.

Sécurité des Web services

  • Protocoles, standards de sécurité XML Encryption, XML Signature, WS-Security/Reliability.
  • Attaques d'injection (XML injection...), brute force ou par rejeu.
  • Firewalls applicatifs pour les Web services.
  • Principaux acteurs et produits sur le marché.

Sécuriser efficacement les applications Web

  • Durcissement, hardening : sécuriser le système et le serveur HTTP.
  • Virtualisation et sécurité des applications Web.
  • Environnements .NET, PHP et Java. Les 5 phases du SDL.
  • Techniques de fuzzing. Qualifier son application avec l'ASVS.
  • WAF : quelle efficacité, performances ?

Contrôler la sécurité des applications Web

  • Pentest, audit de sécurité, scanners de vulnérabilités.
  • Organiser une veille technologique efficace.
  • Déclaration des incidents de sécurité.

Démonstration
Mise en œuvre d'un serveur Web avec certificat X509 EV : analyse des échanges protocolaires. Exploitation d'une faille de sécurité critique sur le frontal HTTP. Attaque de type HTTPS Stripping.

Participants / Prérequis

» Participants

DSI, RSSI, responsables sécurité, développeurs, concepteurs, chefs de projets intégrant des contraintes de sécurité, responsables ou administrateurs réseau, informatique, système.

» Prérequis

Connaissances de base en informatique et en réseaux.
Intra / sur-mesure
Programme standard     Programme sur-mesure
Oui / Non

Vos coordonnées

Dates de sessions

Pour vous inscrire, cliquez sur la session qui vous intéresse.
[-]
PARIS

Horaires

Les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45.
Pour les stages pratiques de 4 ou 5 jours, les sessions se terminent à 15h30 le dernier jour.