Venez en toute sécurité dans nos centres ! Voir notre dispositif sanitaire

> Formations > Technologies numériques > Cybersécurité > Sécurité logicielle > Formation Sécurité des applications Web > Formations > Technologies numériques > Formation Sécurité des applications Web
Formation incontournable Nouvelle édition du programme de la formation Formation référencée dans le catalogue Clé en main d’un OPCO

Sécurité des applications Web

Sécurité des applications Web

Télécharger au format pdf Partager cette formation par e-mail


L'intrusion sur les serveurs de l'entreprise représente un risque majeur. Il est essentiel de comprendre et d'appliquer les technologies et les produits permettant d'apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d'un service en ligne à partir d'exemples concrets d'attaques et de ripostes adaptées.


Inter
Intra
Sur mesure

Cours pratique en présentiel ou en classe à distance

Réf : SER
Prix : 2220 € HT
  3j - 21h
Pauses-café et
déjeuners offerts
Financements




L'intrusion sur les serveurs de l'entreprise représente un risque majeur. Il est essentiel de comprendre et d'appliquer les technologies et les produits permettant d'apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d'un service en ligne à partir d'exemples concrets d'attaques et de ripostes adaptées.

Objectifs pédagogiques

À l’issue de la formation, le participant sera en mesure de :
  • Identifier les vulnérabilités les plus courantes des applications Web
  • Comprendre le déroulement d'une attaque
  • Mettre en place des mesures de sécurisation simples pour les applications Web
  • Configurer un serveur Web pour chiffrer le trafic Web avec HTTPS
  • Tester la sécurité de ses applications Web

Objectifs pédagogiques

Public concerné

Administrateurs réseaux, systèmes, Webmaster.

Public concerné

Prérequis

Connaissances de base en systèmes, réseaux et d'Internet.

Prérequis

Pédagogie

Des sites en ligne sécurisés et protégés (firewall multi-DMZ) seront déployés, une accélération SSL, un proxy d'analyse du protocole HTTP, un injecteur de flux HTTP(S), une authentification forte par certificat, des outils d'attaques sur les flux HTTPS...

Pédagogie

Programme de la formation

Introduction
  • Statistiques et évolution des failles liées au Web selon IBM X-Force et OWASP.
  • Evolution des attaques protocolaires et applicatives.
  • Le monde des hackers : qui sont-ils ? Quels sont leurs motivations, leurs moyens ?
  • Statistiques et évolution des failles liées au Web selon IBM X-Force et OWASP.
  • Evolution des attaques protocolaires et applicatives.
  • Le monde des hackers : qui sont-ils ? Quels sont leurs motivations, leurs moyens ?

Constituants d'une application Web
  • Les éléments d'une application N-tiers.
  • Le serveur frontal HTTP, son rôle et ses faiblesses.
  • Les risques intrinsèques de ces composants.
  • Les acteurs majeurs du marché.
  • Les éléments d'une application N-tiers.
  • Le serveur frontal HTTP, son rôle et ses faiblesses.
  • Les risques intrinsèques de ces composants.
  • Les acteurs majeurs du marché.

Le protocole HTTP en détail
  • Rappels TCP, HTTP, persistance et pipelining.
  • Les PDU GET, POST, PUT, DELETE, HEAD et TRACE.
  • Champs de l'en-tête, codes de status 1xx à 5xx.
  • Redirection, hôte virtuel, proxy cache et tunneling.
  • Les cookies, les attributs, les options associées.
  • Les authentifications (Basic, Improved Digest...).
  • L'accélération HTTP, proxy, le Web balancing.
  • Attaques protocolaires HTTP Request Smuggling et HTTP Response splitting.
  • Rappels TCP, HTTP, persistance et pipelining.
  • Les PDU GET, POST, PUT, DELETE, HEAD et TRACE.
  • Champs de l'en-tête, codes de status 1xx à 5xx.
  • Redirection, hôte virtuel, proxy cache et tunneling.
  • Les cookies, les attributs, les options associées.
  • Les authentifications (Basic, Improved Digest...).
  • L'accélération HTTP, proxy, le Web balancing.
  • Attaques protocolaires HTTP Request Smuggling et HTTP Response splitting.
Travaux pratiques
Installation et utilisation de l'analyseur réseau Wireshark. Utilisation d'un proxy d'analyse HTTP spécifique.

Les vulnérabilités des applications Web
  • Pourquoi les applications Web sont-elles plus exposées ?
  • Les risques majeurs des applications Web selon l'OWASP (Top Ten 2017).
  • Les attaques "Cross Site Scripting" ou XSS - Pourquoi sont-elles en pleine expansion ? Comment les éviter ?
  • Les attaques en injection (Commandes injection, SQL Injection, LDAP injection...).
  • Les attaques sur les sessions (cookie poisonning, session hijacking...).
  • Exploitation de vulnérabilités sur le frontal HTTP (ver Nimda, faille Unicode...).
  • Attaques sur les configurations standard (Default Password, Directory Transversal...).
  • Pourquoi les applications Web sont-elles plus exposées ?
  • Les risques majeurs des applications Web selon l'OWASP (Top Ten 2017).
  • Les attaques "Cross Site Scripting" ou XSS - Pourquoi sont-elles en pleine expansion ? Comment les éviter ?
  • Les attaques en injection (Commandes injection, SQL Injection, LDAP injection...).
  • Les attaques sur les sessions (cookie poisonning, session hijacking...).
  • Exploitation de vulnérabilités sur le frontal HTTP (ver Nimda, faille Unicode...).
  • Attaques sur les configurations standard (Default Password, Directory Transversal...).
Travaux pratiques
Attaque Cross Site Scripting. Exploitation d'une faille sur le frontal http. Contournement d'une authentification par injection de requête SQL.

Le firewall réseau dans la protection d'applications HTTP
  • Le firewall réseau, son rôle et ses fonctions.
  • Combien de DMZ pour une architecture N-Tiers ?
  • Pourquoi le firewall réseau n'est pas apte à assurer la protection d'une application Web ?
  • Le firewall réseau, son rôle et ses fonctions.
  • Combien de DMZ pour une architecture N-Tiers ?
  • Pourquoi le firewall réseau n'est pas apte à assurer la protection d'une application Web ?

Sécurisation des flux avec SSL/TLS
  • Rappels des techniques cryptographiques utilisées dans SSL et TLS.
  • Gérer ses certificats serveurs, le standard X509.
  • Qu'apporte le nouveau certificat X509 EV ?
  • Quelle autorité de certification choisir ?
  • Les techniques de capture et d'analyse des flux SSL.
  • Les principales failles des certificats X509.
  • Utilisation d'un reverse proxy pour l'accélération SSL.
  • L'intérêt des cartes crypto hardware HSM.
  • Rappels des techniques cryptographiques utilisées dans SSL et TLS.
  • Gérer ses certificats serveurs, le standard X509.
  • Qu'apporte le nouveau certificat X509 EV ?
  • Quelle autorité de certification choisir ?
  • Les techniques de capture et d'analyse des flux SSL.
  • Les principales failles des certificats X509.
  • Utilisation d'un reverse proxy pour l'accélération SSL.
  • L'intérêt des cartes crypto hardware HSM.
Travaux pratiques
Mise en œuvre de SSL sous IIS et Apache. Attaques sur les flux HTTPS avec sslstrip et sslsnif.

Configuration du système et des logiciels
  • La configuration par défaut, le risque majeur.
  • Règles à respecter lors de l'installation d'un système d'exploitation.
  • Linux ou Windows. Apache ou IIS ?
  • Comment configurer Apache et IIS pour une sécurité optimale ?
  • Le cas du Middleware et de la base de données. Les V.D.S. (Vulnerability Detection System).
  • La configuration par défaut, le risque majeur.
  • Règles à respecter lors de l'installation d'un système d'exploitation.
  • Linux ou Windows. Apache ou IIS ?
  • Comment configurer Apache et IIS pour une sécurité optimale ?
  • Le cas du Middleware et de la base de données. Les V.D.S. (Vulnerability Detection System).
Travaux pratiques
Procédure de sécurisation du frontal Web (Apache ou IIS).

Principe du développement sécurisé
  • Sécurité du développement, quel budget ?
  • La sécurité dans le cycle de développement.
  • Le rôle du code côté client, sécurité ou ergonomie ?
  • Le contrôle des données envoyées par le client.
  • Lutter contre les attaques de type "Buffer Overflow".
  • Les règles de développement à respecter.
  • Comment lutter contre les risques résiduels : Headers, URL malformée, Cookie Poisoning... ?
  • Sécurité du développement, quel budget ?
  • La sécurité dans le cycle de développement.
  • Le rôle du code côté client, sécurité ou ergonomie ?
  • Le contrôle des données envoyées par le client.
  • Lutter contre les attaques de type "Buffer Overflow".
  • Les règles de développement à respecter.
  • Comment lutter contre les risques résiduels : Headers, URL malformée, Cookie Poisoning... ?

L'authentification des utilisateurs
  • L'authentification via HTTP : Basic Authentication et Digest Authentication ou par l'application (HTML form).
  • L'authentification forte : certificat X509 client, Token SecurID, ADN digital Mobilegov...
  • Autres techniques d'authentification par logiciel : CAPTCHA, Keypass, etc.
  • Attaque sur les mots de passe : sniffing, brute force, phishing, keylogger.
  • Attaque sur les numéros de session (session hijacking) ou sur les cookies (cookie poisoning).
  • Attaque sur les authentifications HTTPS (fake server, sslsniff, X509 certificate exploit...).
  • L'authentification via HTTP : Basic Authentication et Digest Authentication ou par l'application (HTML form).
  • L'authentification forte : certificat X509 client, Token SecurID, ADN digital Mobilegov...
  • Autres techniques d'authentification par logiciel : CAPTCHA, Keypass, etc.
  • Attaque sur les mots de passe : sniffing, brute force, phishing, keylogger.
  • Attaque sur les numéros de session (session hijacking) ou sur les cookies (cookie poisoning).
  • Attaque sur les authentifications HTTPS (fake server, sslsniff, X509 certificate exploit...).
Travaux pratiques
Attaque "Man in the Middle" sur l'authentification d'un utilisateur et vol de session (session hijacking).

Le firewall "applicatif"
  • Reverse proxy et firewall applicatif, détails des fonctionnalités.
  • Quels sont les apports du firewall applicatif sur la sécurité des sites Web ?
  • Insérer un firewall applicatif sur un système en production. Les acteurs du marché.
  • Reverse proxy et firewall applicatif, détails des fonctionnalités.
  • Quels sont les apports du firewall applicatif sur la sécurité des sites Web ?
  • Insérer un firewall applicatif sur un système en production. Les acteurs du marché.
Travaux pratiques
Mise en œuvre d'un firewall applicatif. Gestion de la politique de sécurité. Attaques et résultats.


Programme de la formation

Solutions de financement

Selon votre situation, votre formation peut être financée par :
  • Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
  • Le dispositif FNE-Formation.
  • L’OPCO (opérateurs de compétences) de votre entreprise.
  • Pôle Emploi sous réserve de l’acceptation de votre dossier par votre conseiller Pôle Emploi.
  • Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
  • Le dispositif FNE-Formation.
  • L’OPCO (opérateurs de compétences) de votre entreprise.
  • Pôle Emploi sous réserve de l’acceptation de votre dossier par votre conseiller Pôle Emploi.
Contactez nos équipes pour en savoir plus sur les financements à activer.

Financement par les actions collectives ou clé en main
Jusqu’à 100% de prise en charge des frais pédagogiques de la formation dans la cadre des actions collectives ou des tarifs négociés avec les actions « clé en main » mises en place par les OPCO. Cliquez sur l’OPCO pour découvrir les modalités financières associées

Solutions de financement

Avis clients

4,4 / 5
ERIC L.
08/11/21
5 / 5

Durée de la formation trop courte pour couvrir l’ensemble du contenu décrit, c’est dommage (il manque au moins 1 jour à mon avis voire 2 si on met en pratique l’ensemble des exercices proposés). Cependant, l’animation était très bien et les explications fournies concises. La notification 3/4 vient réellement du manque de temps.
FRÉDÉRIC L.
08/11/21
5 / 5

Formation de niveau 1 : donc ayant déjà un peu d’expérience on reste sur sa faim sur le niveau des attaques. Trop de techno open sources, pas d’étude sur des cas concrets ASP/C#/IIS/SQL Server, mais la théorie est bien là.
NTSIENTSI ROMARIC S.
08/11/21
5 / 5

C’est un très bon contenu. Les 3 jours sont peut-être un peu cours pour bien tout assimiler.


Les avis clients sont issus des feuilles d’évaluation de fin de formation. La note est calculée à partir de l’ensemble des avis datant de moins de 12 mois.


Avis clients

Horaires

En présentiel, les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45. Les pauses et déjeuners sont offerts.
En classe à distance, la formation démarre à partir de 9h.
Pour les stages pratiques de 4 ou 5 jours, quelle que soit la modalité, les sessions se terminent à 15h30 le dernier jour.

Infos pratiques

Dates et lieux

Pour vous inscrire, sélectionnez la ville et la date de votre choix.
Du 20 au 22 décembre 2021
Nantes
S’inscrire
Du 20 au 22 décembre 2021
Classe à distance
Session garantie
S’inscrire
Du 10 au 12 janvier 2022
Dijon
S’inscrire
Du 10 au 12 janvier 2022
Nancy
S’inscrire
Du 10 au 12 janvier 2022
Lyon
S’inscrire
Du 10 au 12 janvier 2022
Clermont-Ferrand
S’inscrire
Du 10 au 12 janvier 2022
Grenoble
S’inscrire
Du 26 au 28 janvier 2022
Brest
S’inscrire
Du 26 au 28 janvier 2022
Rennes
S’inscrire
Du 26 au 28 janvier 2022
Strasbourg
S’inscrire
Du 26 au 28 janvier 2022
Nantes
S’inscrire
Du 7 au 9 février 2022
Orléans
S’inscrire
Du 7 au 9 février 2022
Angers
S’inscrire
Du 7 au 9 février 2022
Lille
S’inscrire
Du 7 au 9 février 2022
Classe à distance
Session garantie
S’inscrire
Du 7 au 9 février 2022
Tours
S’inscrire
Du 7 au 9 février 2022
Reims
S’inscrire
Du 7 au 9 février 2022
Rouen
S’inscrire
Du 7 au 9 février 2022
Genève
S’inscrire
Du 7 au 9 février 2022
Luxembourg
S’inscrire
Du 7 au 9 février 2022
Bruxelles
S’inscrire
Du 7 au 9 février 2022
Paris La Défense
S’inscrire
Du 9 au 11 février 2022
Limoges
S’inscrire
Du 9 au 11 février 2022
Sophia-Antipolis
S’inscrire
Du 9 au 11 février 2022
Aix-en-Provence
S’inscrire
Du 9 au 11 février 2022
Toulouse
S’inscrire
Du 9 au 11 février 2022
Montpellier
S’inscrire
Du 9 au 11 février 2022
Toulon
S’inscrire
Du 9 au 11 février 2022
Bordeaux
S’inscrire
Du 9 au 11 février 2022
Niort
S’inscrire
Du 28 février au 2 mars 2022
Classe à distance
S’inscrire
Du 28 février au 2 mars 2022
Paris La Défense
S’inscrire
Du 2 au 4 mars 2022
Bordeaux
S’inscrire
Du 2 au 4 mars 2022
Toulouse
S’inscrire
Du 28 au 30 mars 2022
Lyon
S’inscrire
Du 30 mars au 1 avril 2022
Aix-en-Provence
S’inscrire
Du 30 mars au 1 avril 2022
Sophia-Antipolis
S’inscrire
Du 11 au 13 avril 2022
Tours
S’inscrire
Du 11 au 13 avril 2022
Rouen
S’inscrire
Du 11 au 13 avril 2022
Reims
S’inscrire
Du 11 au 13 avril 2022
Classe à distance
S’inscrire
Du 11 au 13 avril 2022
Paris La Défense
S’inscrire
Du 11 au 13 avril 2022
Bruxelles
S’inscrire
Du 11 au 13 avril 2022
Luxembourg
S’inscrire
Du 11 au 13 avril 2022
Genève
S’inscrire
Du 11 au 13 avril 2022
Lille
S’inscrire
Du 11 au 13 avril 2022
Angers
S’inscrire
Du 11 au 13 avril 2022
Orléans
S’inscrire
Du 27 au 29 avril 2022
Nantes
S’inscrire
Du 27 au 29 avril 2022
Brest
S’inscrire
Du 27 au 29 avril 2022
Strasbourg
S’inscrire
Du 27 au 29 avril 2022
Rennes
S’inscrire
Du 18 au 20 mai 2022
Toulon
S’inscrire
Du 18 au 20 mai 2022
Montpellier
S’inscrire
Du 18 au 20 mai 2022
Bordeaux
S’inscrire
Du 18 au 20 mai 2022
Niort
S’inscrire
Du 18 au 20 mai 2022
Aix-en-Provence
S’inscrire
Du 18 au 20 mai 2022
Toulouse
S’inscrire
Du 18 au 20 mai 2022
Limoges
S’inscrire
Du 18 au 20 mai 2022
Sophia-Antipolis
S’inscrire
Du 23 au 25 mai 2022
Classe à distance
S’inscrire
Du 23 au 25 mai 2022
Paris La Défense
S’inscrire
Du 23 au 25 mai 2022
Nantes
S’inscrire
Du 23 au 25 mai 2022
Lille
S’inscrire
Du 23 au 25 mai 2022
Strasbourg
S’inscrire
Du 30 mai au 1 juin 2022
Grenoble
S’inscrire
Du 30 mai au 1 juin 2022
Clermont-Ferrand
S’inscrire
Du 30 mai au 1 juin 2022
Lyon
S’inscrire
Du 30 mai au 1 juin 2022
Nancy
S’inscrire
Du 30 mai au 1 juin 2022
Dijon
S’inscrire
Du 27 au 29 juin 2022
Classe à distance
S’inscrire
Du 27 au 29 juin 2022
Paris La Défense
S’inscrire
Du 20 au 22 juillet 2022
Sophia-Antipolis
S’inscrire
Du 20 au 22 juillet 2022
Aix-en-Provence
S’inscrire
Du 20 au 22 juillet 2022
Montpellier
S’inscrire
Du 20 au 22 juillet 2022
Toulon
S’inscrire
Du 25 au 27 juillet 2022
Orléans
S’inscrire
Du 25 au 27 juillet 2022
Lille
S’inscrire
Du 25 au 27 juillet 2022
Angers
S’inscrire
Du 25 au 27 juillet 2022
Tours
S’inscrire
Du 25 au 27 juillet 2022
Reims
S’inscrire
Du 25 au 27 juillet 2022
Rouen
S’inscrire
Du 25 au 27 juillet 2022
Classe à distance
S’inscrire
Du 25 au 27 juillet 2022
Paris La Défense
S’inscrire
Du 25 au 27 juillet 2022
Genève
S’inscrire
Du 25 au 27 juillet 2022
Luxembourg
S’inscrire
Du 25 au 27 juillet 2022
Bruxelles
S’inscrire
Du 27 au 29 juillet 2022
Limoges
S’inscrire
Du 27 au 29 juillet 2022
Toulouse
S’inscrire
Du 27 au 29 juillet 2022
Niort
S’inscrire
Du 27 au 29 juillet 2022
Bordeaux
S’inscrire
Du 8 au 10 août 2022
Grenoble
S’inscrire
Du 8 au 10 août 2022
Lyon
S’inscrire
Du 8 au 10 août 2022
Clermont-Ferrand
S’inscrire
Du 8 au 10 août 2022
Dijon
S’inscrire
Du 8 au 10 août 2022
Nancy
S’inscrire
Du 17 au 19 août 2022
Nantes
S’inscrire
Du 17 au 19 août 2022
Brest
S’inscrire
Du 17 au 19 août 2022
Strasbourg
S’inscrire
Du 17 au 19 août 2022
Rennes
S’inscrire
Du 12 au 14 septembre 2022
Lyon
S’inscrire
Du 12 au 14 septembre 2022
Lille
S’inscrire
Du 12 au 14 septembre 2022
Classe à distance
S’inscrire
Du 12 au 14 septembre 2022
Paris La Défense
S’inscrire
Du 17 au 19 octobre 2022
Paris La Défense
S’inscrire
Du 17 au 19 octobre 2022
Genève
S’inscrire
Du 17 au 19 octobre 2022
Bruxelles
S’inscrire
Du 17 au 19 octobre 2022
Luxembourg
S’inscrire
Du 17 au 19 octobre 2022
Classe à distance
S’inscrire
Du 17 au 19 octobre 2022
Rouen
S’inscrire
Du 17 au 19 octobre 2022
Reims
S’inscrire
Du 17 au 19 octobre 2022
Tours
S’inscrire
Du 17 au 19 octobre 2022
Angers
S’inscrire
Du 17 au 19 octobre 2022
Orléans
S’inscrire
Du 17 au 19 octobre 2022
Nantes
S’inscrire
Du 17 au 19 octobre 2022
Rennes
S’inscrire
Du 17 au 19 octobre 2022
Strasbourg
S’inscrire
Du 17 au 19 octobre 2022
Brest
S’inscrire
Du 19 au 21 octobre 2022
Toulon
S’inscrire
Du 19 au 21 octobre 2022
Montpellier
S’inscrire
Du 19 au 21 octobre 2022
Aix-en-Provence
S’inscrire
Du 19 au 21 octobre 2022
Sophia-Antipolis
S’inscrire
Du 26 au 28 octobre 2022
Limoges
S’inscrire
Du 26 au 28 octobre 2022
Toulouse
S’inscrire
Du 26 au 28 octobre 2022
Bordeaux
S’inscrire
Du 26 au 28 octobre 2022
Niort
S’inscrire
Du 7 au 9 novembre 2022
Grenoble
S’inscrire
Du 7 au 9 novembre 2022
Strasbourg
S’inscrire
Du 7 au 9 novembre 2022
Lyon
S’inscrire
Du 7 au 9 novembre 2022
Nantes
S’inscrire
Du 7 au 9 novembre 2022
Clermont-Ferrand
S’inscrire
Du 7 au 9 novembre 2022
Lille
S’inscrire
Du 7 au 9 novembre 2022
Paris La Défense
S’inscrire
Du 7 au 9 novembre 2022
Classe à distance
S’inscrire
Du 7 au 9 novembre 2022
Nancy
S’inscrire
Du 7 au 9 novembre 2022
Dijon
S’inscrire
Du 5 au 7 décembre 2022
Classe à distance
S’inscrire
Du 5 au 7 décembre 2022
Paris La Défense
S’inscrire
Du 7 au 9 décembre 2022
Sophia-Antipolis
S’inscrire
Du 7 au 9 décembre 2022
Aix-en-Provence
S’inscrire
Du 7 au 9 décembre 2022
Toulouse
S’inscrire
Du 7 au 9 décembre 2022
Bordeaux
S’inscrire

Dates et lieux