> formation Technologies numériques > formation Cybersécurité > formation Sécurité logicielle > formation Sécurité des applications Web

Avis loadedNote : 3,8Length : 47TotalNote : 1330TotalNote20 : 39
Toutes nos formations Sécurité logicielle

Formation Sécurité des applications Web

3,8 / 5
Stage pratique
Best
Durée : 3 jours
Réf : SER
Prix  2021 : 2220 € H.T.
Pauses et déjeuners offerts
  • Programme
  • Participants / Prérequis
  • Intra / sur-mesure
  • avis clients
Programme

L'intrusion sur les serveurs de l'entreprise représente un risque majeur. Il est essentiel de comprendre et d'appliquer les technologies et les produits permettant d'apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d'un service en ligne à partir d'exemples concrets d'attaques et de ripostes adaptées.

Objectifs pédagogiques

À l’issue de la formation, le participant sera en mesure de :
  • Identifier les vulnérabilités les plus courantes des applications Web
  • Comprendre le déroulement d'une attaque
  • Tester la sécurité de ses applications Web
  • Configurer un serveur Web pour chiffrer le trafic Web avec HTTPS
  • Mettre en place des mesures de sécurisation simples pour les applications Web

Travaux pratiques

Des sites en ligne sécurisés et protégés (firewall multi-DMZ) seront déployés, une accélération SSL, un proxy d'analyse du protocole HTTP, un injecteur de flux HTTP(S), une authentification forte par certificat, des outils d'attaques sur les flux HTTPS...
PROGRAMME DE FORMATION

Introduction

  • Statistiques et évolution des failles liées au Web selon IBM X-Force et OWASP.
  • Evolution des attaques protocolaires et applicatives.
  • Le monde des hackers : qui sont-ils ? Quels sont leurs motivations, leurs moyens ?

Constituants d'une application Web

  • Les éléments d'une application N-tiers.
  • Le serveur frontal HTTP, son rôle et ses faiblesses.
  • Les risques intrinsèques de ces composants.
  • Les acteurs majeurs du marché.

Le protocole HTTP en détail

  • Rappels TCP, HTTP, persistance et pipelining.
  • Les PDU GET, POST, PUT, DELETE, HEAD et TRACE.
  • Champs de l'en-tête, codes de status 1xx à 5xx.
  • Redirection, hôte virtuel, proxy cache et tunneling.
  • Les cookies, les attributs, les options associées.
  • Les authentifications (Basic, Improved Digest...).
  • L'accélération HTTP, proxy, le Web balancing.
  • Attaques protocolaires HTTP Request Smuggling et HTTP Response splitting.

Travaux pratiques
Installation et utilisation de l'analyseur réseau Wireshark. Utilisation d'un proxy d'analyse HTTP spécifique.

Les vulnérabilités des applications Web

  • Pourquoi les applications Web sont-elles plus exposées ?
  • Les risques majeurs des applications Web selon l'OWASP (Top Ten 2017).
  • Les attaques "Cross Site Scripting" ou XSS - Pourquoi sont-elles en pleine expansion ? Comment les éviter ?
  • Les attaques en injection (Commandes injection, SQL Injection, LDAP injection...).
  • Les attaques sur les sessions (cookie poisonning, session hijacking...).
  • Exploitation de vulnérabilités sur le frontal HTTP (ver Nimda, faille Unicode...).
  • Attaques sur les configurations standard (Default Password, Directory Transversal...).

Travaux pratiques
Attaque Cross Site Scripting. Exploitation d'une faille sur le frontal http. Contournement d'une authentification par injection de requête SQL.

Le firewall réseau dans la protection d'applications HTTP

  • Le firewall réseau, son rôle et ses fonctions.
  • Combien de DMZ pour une architecture N-Tiers ?
  • Pourquoi le firewall réseau n'est pas apte à assurer la protection d'une application Web ?

Sécurisation des flux avec SSL/TLS

  • Rappels des techniques cryptographiques utilisées dans SSL et TLS.
  • Gérer ses certificats serveurs, le standard X509.
  • Qu'apporte le nouveau certificat X509 EV ?
  • Quelle autorité de certification choisir ?
  • Les techniques de capture et d'analyse des flux SSL.
  • Les principales failles des certificats X509.
  • Utilisation d'un reverse proxy pour l'accélération SSL.
  • L'intérêt des cartes crypto hardware HSM.

Travaux pratiques
Mise en œuvre de SSL sous IIS et Apache. Attaques sur les flux HTTPS avec sslstrip et sslsnif.

Configuration du système et des logiciels

  • La configuration par défaut, le risque majeur.
  • Règles à respecter lors de l'installation d'un système d'exploitation.
  • Linux ou Windows. Apache ou IIS ?
  • Comment configurer Apache et IIS pour une sécurité optimale ?
  • Le cas du Middleware et de la base de données. Les V.D.S. (Vulnerability Detection System).

Travaux pratiques
Procédure de sécurisation du frontal Web (Apache ou IIS).

Principe du développement sécurisé

  • Sécurité du développement, quel budget ?
  • La sécurité dans le cycle de développement.
  • Le rôle du code côté client, sécurité ou ergonomie ?
  • Le contrôle des données envoyées par le client.
  • Lutter contre les attaques de type "Buffer Overflow".
  • Les règles de développement à respecter.
  • Comment lutter contre les risques résiduels : Headers, URL malformée, Cookie Poisoning... ?

L'authentification des utilisateurs

  • L'authentification via HTTP : Basic Authentication et Digest Authentication ou par l'application (HTML form).
  • L'authentification forte : certificat X509 client, Token SecurID, ADN digital Mobilegov...
  • Autres techniques d'authentification par logiciel : CAPTCHA, Keypass, etc.
  • Attaque sur les mots de passe : sniffing, brute force, phishing, keylogger.
  • Attaque sur les numéros de session (session hijacking) ou sur les cookies (cookie poisoning).
  • Attaque sur les authentifications HTTPS (fake server, sslsniff, X509 certificate exploit...).

Travaux pratiques
Attaque "Man in the Middle" sur l'authentification d'un utilisateur et vol de session (session hijacking).

Le firewall "applicatif"

  • Reverse proxy et firewall applicatif, détails des fonctionnalités.
  • Quels sont les apports du firewall applicatif sur la sécurité des sites Web ?
  • Insérer un firewall applicatif sur un système en production. Les acteurs du marché.

Travaux pratiques
Mise en œuvre d'un firewall applicatif. Gestion de la politique de sécurité. Attaques et résultats.

Participants / Prérequis

» Participants

Administrateurs réseaux, systèmes, Webmaster.

» Prérequis

Connaissances de base en systèmes, réseaux et d'Internet.
Intra / sur-mesure

Demande de devis intra-entreprise
(réponse sous 48h)

Vos coordonnées

En cochant cette case, j’atteste avoir lu et accepté les conditions liées à l’usage de mes données dans le cadre de la réglementation sur la protection des données à caractère personnel (RGPD).
Vous pouvez à tout moment modifier l’usage de vos données et exercer vos droits en envoyant un email à l’adresse rgpd@orsys.fr
En cochant cette case, j’accepte de recevoir les communications à vocation commerciale et promotionnelle de la part d’ORSYS Formation*
Vous pouvez à tout moment vous désinscrire en utilisant le lien de désabonnement inclus dans nos communications.
* Les participants inscrits à nos sessions de formation sont également susceptibles de recevoir nos communications avec la possibilité de se désabonner à tout moment.
Avis clients
picto avis clients
NICOLAS P. 22/03/2021
4 / 5
Amine sait aborder les sujets de manière très intéressante

VERDIER ANAÏS L. 22/03/2021
5 / 5
Très dynamique, la mise à disposition du Compte Rendu hebdomadaire est une très bonne idée pour ne pas perdre d’information, j’ai adoré la formation

JÉRÔME K. 22/03/2021
5 / 5
Amine était vraiment un formateur passionnant et très bon dans ses explications Contenu bien adapté à mon niveau ( débutant / moyen )

GEORGIA R. 22/03/2021
5 / 5
Formation très dense, donc il est difficile de maitriser tous les domaines. Mais pour une première approche de la sécurité web c’est un très bon début. Cela permet d’avoir une vue globale de la problématique, et aussi des réflexes à mettre en œuvre, maintenant reste à approfondir en confrontant les acquis avec mon contexte professionnel.

JEAN-PHILIPPE G. 22/03/2021
5 / 5
Formateur très pédagogue. Le rythme est un peu soutenu, notamment le temps accordé pour réaliser les TP.

MOHAMED K. 22/03/2021
4 / 5
Intéressant, varié et clair. Dommage j’aurais aimé plus d’info sur SSL et LDAPS

JEROME G. 10/02/2021
5 / 5
Contenu et explications très claires. Le formateur très agréable et intéressant

DIDIER G. 10/02/2021
5 / 5
bien, le temps consacré aux TPs était peut-être un peu court.

LUDOVIC T. 10/02/2021
5 / 5
très pédagogue, intéressant et enrichissant

RONAN B. 10/02/2021
4 / 5
C’est une formation ou le contenu est très dense, en conséquence certains sujets, même si maîtrisés par un ensemble de stagiaires, sont passés très vite.

FRANQUART . 10/02/2021
5 / 5
Parfait

MAXIME N. 04/01/2021
5 / 5
Le contenu est riche et la pédagogie toujours adapté au groupe. Cyril est toujours disponible en cas de besoin.

ALEXANDRE C. 04/01/2021
5 / 5
Contenus interessants, surtout la partie vulnérabilité web qui donne un peu de challenge. Peut-être un peu trop de temps accordé pour la mise en place du serveur apache2. (mais interessant)

BERNARD S. 04/01/2021
5 / 5
Le contenu pédagogique est très riche techniquement

ALEXI C. 04/01/2021
5 / 5
Bonne formation, les sujets sont abordés de façon précise. Bon équilibre entre la théorie et la pratique. Très bonne pédagogie de la part du formateur.

GASSEN O. 04/01/2021
5 / 5
Très bonne pédagogie du formateur

AGNES G. 14/12/2020
5 / 5
Formateur passionné, maitrisant parfaitement son sujet. Très interressant

GABRIEL PASCAL P. 14/12/2020
5 / 5
Bonne animation. L’animateur maîtrise son sujet. Il faudrait étendre la formation à 5 jours. On n’a pas eu le temps d’aborder certains bons sujets.

PASCAL P. 14/12/2020
5 / 5
Bonne animation. On a pas pu faire beaucoup de TPs.

JÉRÔME B. 09/12/2020
4 / 5
Sujet très intéressant avec un formateur qui maitrise son sujet

DIDIER F. 09/12/2020
3 / 5
Niveau technique un peu trop élevé et du coup mise en pratique via les TPs un peu difficile avec une correction un peu rapide.

CHAUVRY C. 24/11/2020
4 / 5
Très bon enseignement et très bonne pédagogie, le formateur était très à l’écoute.

JONATHAN R. 24/11/2020
4 / 5
Très bonne formation qui permet de voir pas mal de domaines d’application. Manque peut être une journée de plus pour prendre plus le temps de tester les différent outils de Kali.

JEAN HUGUES M. 16/11/2020
5 / 5
Contenu très bien fait, basé en grande partie sur les 10 types de faille sécurité les plus répandues.

VANDESQUILLE L. 16/11/2020
4 / 5
Côté formateur très bien, j’aurais aimé un peu plus d’explications relatives aux exercices avant ceux-ci. Mais c’est une remarque relative aux connaissances.

PAUL S. 16/11/2020
5 / 5
Une vision d’ensemble appréciable, et un ensemble d’outils et de connaissances utiles pour mettre en pratique et approfondir le sujet

ERIC L. 16/11/2020
5 / 5
Malgré le fait que nous étions en classe numérique je trouve que cette formation c’est bien déroulé nous avons eu de nombreux échanges avec les autres stagiaires et cela était plutôt sympa.

LUCAS S. 16/11/2020
4 / 5
Contenu de qualité, formateur compétent, en revanche, cours très(trop) dense, j’aurais sûrement était perdu sans mes connaissances préalables. Peut-être un pdf envoyé en amont afin de réaliser une introduction aux principes de chiffrement, explication rapide des protocoles, etc. Un peu trop de "lecture" de PPT, pas assez de schéma interactif (inconvénient distanciel)

RAPHAËL R. 12/10/2020
5 / 5
Contenu très riche. Il y aura beaucoup d’autoformation sur les exercices post formation pour être au point sur le sujet.4 jours pour cette formation serait un plus.

TAYEB G. 12/10/2020
4 / 5
La démarche des TP est trop rapide. les TP ne sont pas compliqués mais ils contiennent bcp de détail et formules. Il faut aller moins vite. En global, bonne démarche, Merci Amine.

NICOLAS C. 12/10/2020
5 / 5
Capacité du formateur Amine à expliquer simplement des mécanismes complexes.

ALAIN A. 12/10/2020
5 / 5
super !

THOMAS D. 12/10/2020
5 / 5
Sujet très intéressant, bien illustré avec des TP cohérent. Le formateur est très compétent et disponible pour accompagner les TP et répondre à diverses questions au sein de la présentation. Un 4ème jour pourrait permettre de compléter ce sujet très riche.

LUCAS B. 12/10/2020
4 / 5
Très bon formateur très pédagogique et compétent. A garder !

BELKACEM M. 12/10/2020
5 / 5
excellent, et disponible !

AURÉLIEN V. 14/09/2020
3 / 5
Selon moi, le cours n’était pas assez structuré, pas ou peu de rappel du plan, pas beaucoup de pratique, trop peu démo, un formateur pas assez attentifs au questions posées et des réponses non satisfaisantes car incomplètes. Dommage, le contenu et les support avait l’air de bien couvrir mes attentes mais je suis assez sur ma fain avec l’impression d’avoir passé beaucoup de temps à écouter des détails inuti

DENIS O. 14/09/2020
4 / 5
L’adéquation cours nombre de jours n’est pas pertinante, la complexité du cours est telle que l’on pourrait passer sur 4 jours voir mieux. Ce constat est récurrent.

STÉPHANE C. 14/09/2020
4 / 5
Contenu très dense, manque de temps (1j de plus nécessaire)

ANTHONY A. 14/09/2020
3 / 5
Il y a eu une erreur de ciblage provenant de mon encadrement qui a choisi cette formation. Mon profil est manager d’équipe. La formation s’adressait plutôt à des experts sécurité ou des ingénieur système.

GUILLARD . 14/09/2020
4 / 5
Les TP à distance sur VM sont difficiles à faire ou suivre. A préférer pour les stages en présentiel.

JEAN-CLAUDE M. 14/09/2020
3 / 5
Formation trop faiblement structurée. Pas de vision d’ensemble; pas de plan/objectif explicité. Certains exercices vont beaucoup trop loin, sans réelle plus value.

CHRISTOPHE R. 08/06/2020
4 / 5
Sujet trop vaste et complexe pour être abordé en seulement 3 jours

JÉRÉMY S. 08/06/2020
4 / 5
J’ai adoré cette formation, un peu dense et rapide, mais gérable. Les cours, TP et les explications sont très bien. Manque peut-être une solution des exercices en fin pdf ou autres pdf final, à fin de pouvoir avoir de côté les bonnes notes, même si pendant la formation, on s’exerce et on prends des notes.

KARINE S. 08/06/2020
3 / 5
Le formateur est super, on sent son expérience dans le domaine de la sécurité. Ses conseils m’ont toujours semblé avisés. La partie cours était vraiment intéressante et riche en enseignements. En revanche la formation est un peu trop orientée ’comment hacker’ et non ’comment protéger’. Surtout s’agissant des TPs. De plus ils sont très techniques à réaliser (probléma

FRANÇOIS-RÉGIS V. 08/06/2020
3 / 5
le stage etait prévu sur la sécurité des applications web. La première journée a tourné autour du pentest sans aborder ce sujet. bon equilibre pratique/theorie. support de cours : les slides ne sont pas un support sur lequel on peut revenir facilement : ca permet d’illustrer le propos. Cahier de TP interessant mais décalé par rapport à la pratique du stage

JULIEN N. 08/06/2020
4 / 5
Peut être faire une demi-journée sur les techno utilisés dans les entreprises des formés et les bonnes pratiques de DEV et les attaques associées.

FRANÇOIS RÉGIS V. 08/06/2020
3 / 5
le stage es présenté comme la sécurité des applications web. La première journée est consacrée à une présentation des méthodologies de tests d’intrusion! Les deux suivantes à des réalisations de pentest sur des applis web. Le développement sécurisé et les bonnes pratiques pour avoir une application web sécurisée me semble insuffisamment traités. Le formateur, me
Avis clients 3,8 / 5

Les avis clients sont issus des feuilles d’évaluation de fin de formation. La note est calculée à partir de l’ensemble des avis datant de moins de 12 mois.

CLASSE A DISTANCE

En inter et en intra-entreprise
Inscrivez-vous ou contactez-nous !

Pour vous inscrire

Cliquez sur la ville, puis sur la date de votre choix.
[+]
CLASSE A DISTANCE
[+]
PARIS
[+]
AIX
[+]
ANGERS
[+]
BORDEAUX
[+]
BREST
[+]
BRUXELLES
[+]
CLERMONT-FERRAND
[+]
DIJON
[+]
GRENOBLE
[+]
LILLE
[+]
LIMOGES
[+]
LYON
[+]
MONTPELLIER
[+]
NANCY
[+]
NANTES
[+]
NIORT
[+]
ORLÉANS
[+]
REIMS
[+]
RENNES
[+]
ROUEN
[+]
SOPHIA-ANTIPOLIS
[+]
STRASBOURG
[+]
TOULON
[+]
TOULOUSE
[+]
TOURS

Horaires

Les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45.
Pour les stages pratiques de 4 ou 5 jours, les sessions se terminent à 15h30 le dernier jour.