> Formations > Technologies numériques > Cybersécurité > Sécurité logicielle > Formation Sécurité des applications Web > Formations > Technologies numériques > Formation Sécurité des applications Web
Formation incontournable

Sécurité des applications Web

Sécurité des applications Web

Télécharger au format pdf Partager cette formation par e-mail 2


L'intrusion sur les serveurs de l'entreprise représente un risque majeur. Il est essentiel de comprendre et d'appliquer les technologies et les produits permettant d'apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d'un service en ligne à partir d'exemples concrets d'attaques et de ripostes adaptées.


Inter
Intra
Sur mesure

Cours pratique en présentiel ou en classe à distance

Réf. SER
Prix : 2290 € H.T.
  3j - 21h
Pauses-café et
déjeuners offerts




L'intrusion sur les serveurs de l'entreprise représente un risque majeur. Il est essentiel de comprendre et d'appliquer les technologies et les produits permettant d'apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d'un service en ligne à partir d'exemples concrets d'attaques et de ripostes adaptées.

Objectifs pédagogiques
À l’issue de la formation, le participant sera en mesure de :
  • Identifier les vulnérabilités les plus courantes des applications Web
  • Comprendre le déroulement d'une attaque
  • Mettre en place des mesures de sécurisation simples pour les applications Web
  • Configurer un serveur Web pour chiffrer le trafic Web avec HTTPS
  • Tester la sécurité de ses applications Web

Public concerné
Administrateurs réseaux, systèmes, Webmaster.

Prérequis
Connaissances de base en systèmes, réseaux et d'Internet.

Programme de la formation

Introduction

  • Statistiques et évolution des failles liées au Web selon IBM X-Force et OWASP.
  • Evolution des attaques protocolaires et applicatives.
  • Le monde des hackers : qui sont-ils ? Quels sont leurs motivations, leurs moyens ?

Constituants d'une application Web

  • Les éléments d'une application N-tiers.
  • Le serveur frontal HTTP, son rôle et ses faiblesses.
  • Les risques intrinsèques de ces composants.
  • Les acteurs majeurs du marché.

Le protocole HTTP en détail

  • Rappels TCP, HTTP, persistance et pipelining.
  • Les PDU GET, POST, PUT, DELETE, HEAD et TRACE.
  • Champs de l'en-tête, codes de status 1xx à 5xx.
  • Redirection, hôte virtuel, proxy cache et tunneling.
  • Les cookies, les attributs, les options associées.
  • Les authentifications (Basic, Improved Digest...).
  • L'accélération HTTP, proxy, le Web balancing.
  • Attaques protocolaires HTTP Request Smuggling et HTTP Response splitting.
Travaux pratiques
Installation et utilisation de l'analyseur réseau Wireshark. Utilisation d'un proxy d'analyse HTTP spécifique.

Les vulnérabilités des applications Web

  • Pourquoi les applications Web sont-elles plus exposées ?
  • Les risques majeurs des applications Web selon l'OWASP (Top Ten 2017).
  • Les attaques "Cross Site Scripting" ou XSS - Pourquoi sont-elles en pleine expansion ? Comment les éviter ?
  • Les attaques en injection (Commandes injection, SQL Injection, LDAP injection...).
  • Les attaques sur les sessions (cookie poisonning, session hijacking...).
  • Exploitation de vulnérabilités sur le frontal HTTP (ver Nimda, faille Unicode...).
  • Attaques sur les configurations standard (Default Password, Directory Transversal...).
Travaux pratiques
Attaque Cross Site Scripting. Exploitation d'une faille sur le frontal http. Contournement d'une authentification par injection de requête SQL.

Le firewall réseau dans la protection d'applications HTTP

  • Le firewall réseau, son rôle et ses fonctions.
  • Combien de DMZ pour une architecture N-Tiers ?
  • Pourquoi le firewall réseau n'est pas apte à assurer la protection d'une application Web ?

Sécurisation des flux avec SSL/TLS

  • Rappels des techniques cryptographiques utilisées dans SSL et TLS.
  • Gérer ses certificats serveurs, le standard X509.
  • Qu'apporte le nouveau certificat X509 EV ?
  • Quelle autorité de certification choisir ?
  • Les techniques de capture et d'analyse des flux SSL.
  • Les principales failles des certificats X509.
  • Utilisation d'un reverse proxy pour l'accélération SSL.
  • L'intérêt des cartes crypto hardware HSM.
Travaux pratiques
Mise en œuvre de SSL sous IIS et Apache. Attaques sur les flux HTTPS avec sslstrip et sslsnif.

Configuration du système et des logiciels

  • La configuration par défaut, le risque majeur.
  • Règles à respecter lors de l'installation d'un système d'exploitation.
  • Linux ou Windows. Apache ou IIS ?
  • Comment configurer Apache et IIS pour une sécurité optimale ?
  • Le cas du Middleware et de la base de données. Les V.D.S. (Vulnerability Detection System).
Travaux pratiques
Procédure de sécurisation du frontal Web (Apache ou IIS).

Principe du développement sécurisé

  • Sécurité du développement, quel budget ?
  • La sécurité dans le cycle de développement.
  • Le rôle du code côté client, sécurité ou ergonomie ?
  • Le contrôle des données envoyées par le client.
  • Lutter contre les attaques de type "Buffer Overflow".
  • Les règles de développement à respecter.
  • Comment lutter contre les risques résiduels : Headers, URL malformée, Cookie Poisoning... ?

L'authentification des utilisateurs

  • L'authentification via HTTP : Basic Authentication et Digest Authentication ou par l'application (HTML form).
  • L'authentification forte : certificat X509 client, Token SecurID, ADN digital Mobilegov...
  • Autres techniques d'authentification par logiciel : CAPTCHA, Keypass, etc.
  • Attaque sur les mots de passe : sniffing, brute force, phishing, keylogger.
  • Attaque sur les numéros de session (session hijacking) ou sur les cookies (cookie poisoning).
  • Attaque sur les authentifications HTTPS (fake server, sslsniff, X509 certificate exploit...).
Travaux pratiques
Attaque "Man in the Middle" sur l'authentification d'un utilisateur et vol de session (session hijacking).

Le firewall "applicatif"

  • Reverse proxy et firewall applicatif, détails des fonctionnalités.
  • Quels sont les apports du firewall applicatif sur la sécurité des sites Web ?
  • Insérer un firewall applicatif sur un système en production. Les acteurs du marché.
Travaux pratiques
Mise en œuvre d'un firewall applicatif. Gestion de la politique de sécurité. Attaques et résultats.


Modalités pratiques
Travaux pratiques
Des sites en ligne sécurisés et protégés (firewall multi-DMZ) seront déployés, une accélération SSL, un proxy d'analyse du protocole HTTP, un injecteur de flux HTTP(S), une authentification forte par certificat, des outils d'attaques sur les flux HTTPS...

Modalités d'évaluation
Le formateur évalue la progression pédagogique du participant tout au long de la formation au moyen de QCM, mises en situation, travaux pratiques…
Le participant complète également un test de positionnement en amont et en aval pour valider les compétences acquises.

Parcours certifiants associés
Pour aller plus loin et renforcer votre employabilité, découvrez les parcours certifiants qui contiennent cette formation :

Solutions de financement
Pour trouver la meilleure solution de financement adaptée à votre situation : contactez votre conseiller formation.
Il vous aidera à choisir parmi les solutions suivantes :
  • Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
  • Le dispositif FNE-Formation.
  • L’OPCO (opérateurs de compétences) de votre entreprise.
  • Pôle Emploi sous réserve de l’acceptation de votre dossier par votre conseiller Pôle Emploi.
  • Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
  • Le dispositif FNE-Formation.
  • L’OPCO (opérateurs de compétences) de votre entreprise.
  • Pôle Emploi sous réserve de l’acceptation de votre dossier par votre conseiller Pôle Emploi.

Avis clients
4,1 / 5
Les avis clients sont issus des évaluations de fin de formation. La note est calculée à partir de l’ensemble des évaluations datant de moins de 12 mois. Seules celles avec un commentaire textuel sont affichées.
HOUSSEYN M.
24/03/22
5 / 5

Très bon formateur, explique super bien!
VINCENT D.
24/03/22
5 / 5

Le formateur avait bien préparé sa formation et maitrisait son sujet. Il a fait preuve d’une bonne pédagogie. Le tout était bien rythmé, bien "time boxé".
SÉBASTIEN F.
24/03/22
5 / 5

Formateur de qualité, maîtrisant son sujet et capable de transmettre son savoir.




Horaires
En présentiel, les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45. Les pauses et déjeuners sont offerts.
En classe à distance, la formation démarre à partir de 9h.
Pour les stages pratiques de 4 ou 5 jours, quelle que soit la modalité, les sessions se terminent à 15h30 le dernier jour.

Dates et lieux
Pour vous inscrire, sélectionnez la ville et la date de votre choix.
Du 2 au 4 janvier 2023
FR
Toulouse
S’inscrire
Du 2 au 4 janvier 2023
FR
Bordeaux
S’inscrire
Du 2 au 4 janvier 2023
FR
Niort
S’inscrire
Du 11 au 13 janvier 2023 *
FR
Classe à distance
Session garantie
S’inscrire
Du 11 au 13 janvier 2023
FR
Sophia-Antipolis
S’inscrire
Du 11 au 13 janvier 2023
FR
Lille
S’inscrire
Du 11 au 13 janvier 2023
FR
Tours
S’inscrire
Du 11 au 13 janvier 2023
FR
Orléans
S’inscrire
Du 11 au 13 janvier 2023
FR
Aix-en-Provence
S’inscrire
Du 11 au 13 janvier 2023
FR
Paris La Défense
S’inscrire
Du 11 au 13 janvier 2023
FR
Montpellier
S’inscrire
Du 11 au 13 janvier 2023
FR
Bruxelles
S’inscrire
Du 11 au 13 janvier 2023
FR
Bruxelles
S’inscrire
Du 6 au 8 février 2023
FR
Dijon
S’inscrire
Du 6 au 8 février 2023
FR
Grenoble
S’inscrire
Du 8 au 10 février 2023
FR
Classe à distance
S’inscrire
Du 8 au 10 février 2023
FR
Paris La Défense
S’inscrire
Du 15 au 17 février 2023
FR
Nantes
S’inscrire
Du 15 au 17 février 2023
FR
Strasbourg
S’inscrire
Du 15 au 17 février 2023
FR
Rennes
S’inscrire
Du 1 au 3 mars 2023
FR
Paris La Défense
S’inscrire
Du 1 au 3 mars 2023
FR
Classe à distance
S’inscrire
Du 3 au 5 avril 2023
FR
Dijon
S’inscrire
Du 3 au 5 avril 2023
FR
Lyon
S’inscrire
Du 3 au 5 avril 2023
FR
Grenoble
S’inscrire
Du 5 au 7 avril 2023
FR
Lille
S’inscrire
Du 5 au 7 avril 2023
FR
Tours
S’inscrire
Du 5 au 7 avril 2023
FR
Classe à distance
S’inscrire
Du 5 au 7 avril 2023
FR
Paris La Défense
S’inscrire
Du 5 au 7 avril 2023
FR
Bruxelles
S’inscrire
Du 5 au 7 avril 2023
FR
Bruxelles
S’inscrire
Du 5 au 7 avril 2023
FR
Orléans
S’inscrire
Du 17 au 19 avril 2023
FR
Toulouse
S’inscrire
Du 17 au 19 avril 2023
FR
Bordeaux
S’inscrire
Du 17 au 19 avril 2023
FR
Niort
S’inscrire
Du 24 au 26 avril 2023
FR
Sophia-Antipolis
S’inscrire
Du 24 au 26 avril 2023
FR
Aix-en-Provence
S’inscrire
Du 24 au 26 avril 2023
FR
Montpellier
S’inscrire
Du 10 au 12 mai 2023
FR
Paris La Défense
S’inscrire
Du 10 au 12 mai 2023
FR
Classe à distance
S’inscrire
Du 31 mai au 2 juin 2023
FR
Rennes
S’inscrire
Du 31 mai au 2 juin 2023
FR
Strasbourg
S’inscrire
Du 31 mai au 2 juin 2023
FR
Nantes
S’inscrire
Du 12 au 14 juin 2023
FR
Lyon
S’inscrire
Du 14 au 16 juin 2023
FR
Paris La Défense
S’inscrire
Du 14 au 16 juin 2023
FR
Classe à distance
S’inscrire
Du 10 au 12 juillet 2023
FR
Niort
S’inscrire
Du 10 au 12 juillet 2023
FR
Bordeaux
S’inscrire
Du 10 au 12 juillet 2023
FR
Toulouse
S’inscrire
Du 17 au 19 juillet 2023
FR
Aix-en-Provence
S’inscrire
Du 17 au 19 juillet 2023
FR
Sophia-Antipolis
S’inscrire
Du 17 au 19 juillet 2023
FR
Montpellier
S’inscrire
Du 19 au 21 juillet 2023
FR
Bruxelles
S’inscrire
Du 19 au 21 juillet 2023
FR
Bruxelles
S’inscrire
Du 19 au 21 juillet 2023
FR
Classe à distance
S’inscrire
Du 19 au 21 juillet 2023
FR
Orléans
S’inscrire
Du 19 au 21 juillet 2023
FR
Tours
S’inscrire
Du 19 au 21 juillet 2023
FR
Lille
S’inscrire
Du 19 au 21 juillet 2023
FR
Paris La Défense
S’inscrire
Du 16 au 18 août 2023
FR
Paris La Défense
S’inscrire
Du 16 au 18 août 2023
FR
Strasbourg
S’inscrire
Du 16 au 18 août 2023
FR
Nantes
S’inscrire
Du 16 au 18 août 2023
FR
Grenoble
S’inscrire
Du 16 au 18 août 2023
FR
Classe à distance
S’inscrire
Du 16 au 18 août 2023
FR
Rennes
S’inscrire
Du 16 au 18 août 2023
FR
Dijon
S’inscrire
Du 20 au 22 septembre 2023
FR
Classe à distance
S’inscrire
Du 20 au 22 septembre 2023
FR
Paris La Défense
S’inscrire
Du 9 au 11 octobre 2023
FR
Toulouse
S’inscrire
Du 9 au 11 octobre 2023
FR
Bordeaux
S’inscrire
Du 9 au 11 octobre 2023
FR
Niort
S’inscrire
Du 16 au 18 octobre 2023
FR
Sophia-Antipolis
S’inscrire
Du 16 au 18 octobre 2023
FR
Grenoble
S’inscrire
Du 16 au 18 octobre 2023
FR
Lyon
S’inscrire
Du 16 au 18 octobre 2023
FR
Aix-en-Provence
S’inscrire
Du 16 au 18 octobre 2023
FR
Montpellier
S’inscrire
Du 16 au 18 octobre 2023
FR
Dijon
S’inscrire
Du 25 au 27 octobre 2023
FR
Bruxelles
S’inscrire
Du 25 au 27 octobre 2023
FR
Bruxelles
S’inscrire
Du 25 au 27 octobre 2023
FR
Paris La Défense
S’inscrire
Du 25 au 27 octobre 2023
FR
Orléans
S’inscrire
Du 25 au 27 octobre 2023
FR
Lille
S’inscrire
Du 25 au 27 octobre 2023
FR
Tours
S’inscrire
Du 25 au 27 octobre 2023
FR
Classe à distance
S’inscrire
Du 22 au 24 novembre 2023
FR
Classe à distance
S’inscrire
Du 22 au 24 novembre 2023
FR
Paris La Défense
S’inscrire
Du 27 au 29 novembre 2023
FR
Nantes
S’inscrire
Du 27 au 29 novembre 2023
FR
Strasbourg
S’inscrire
Du 27 au 29 novembre 2023
FR
Rennes
S’inscrire
Du 18 au 20 décembre 2023
FR
Lyon
S’inscrire
Du 20 au 22 décembre 2023
FR
Paris La Défense
S’inscrire
Du 20 au 22 décembre 2023
FR
Classe à distance
S’inscrire