Accueil > Sécurité Informatique > Sécurité des Applications, Services et Serveurs Web
Formation #SEC120

Formation Sécurité des Applications, Services et Serveurs Web

Durée : 5 jours

Code : SEC120


Prochaines dates programmées :

Du 24 au 28 Juin 2024

Du 23 au 27 Sept. 2024

Du 23 au 27 Déc. 2024

Fin d'Inscription :
Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email : Au minimum 15 JOURS OUVRÉS avant la date de formation.
Si vous avez un besoin URGENT et que vous souhaitez une date de formation plus proche que les sessions programmées (minimum 15 à 20 jours ouvrés à date de votre demande)

Objectifs

  • Avoir une culture générale sur la sécurité applicative
  • Identifier les vulnérabilités les plus courantes des applications Web
  • Comprendre le déroulement d'une attaque
  • Connaître de façon très concrète les mécanismes d’échanges entre les différentes briques d’une application WEB
  • Mettre en place des mesures de sécurisation simples pour les applications Web
Programme
1/ Introduction
  • Statistiques et évolution des failles liées au Web selon IBM X-Force et OWASP
  • Evolution des attaques protocolaires et applicatives
  • Le monde des hackers
2/ Les constituants d'une application Web
  • Les éléments d'une application N-tiers
  • Le serveur frontal HTTP, son rôle et ses faiblesses
  • Les risques intrinsèques de ces composants
  • Les principaux acteurs du marché
3/ Modélisation de la sécurité web
  • Le triangle CIA (Confidentialité, Intégrité et Disponibilité)
  • Authentifications et autorisation
4/ Chiffrement, cryptage et PKI
  • Fonctionnement d'une PKI. Déploiement d'une PKI
  • Cryptographie à clé publique et à clé privée. Vérification de l'intégrité des données
  • Sécurisation des flux avec SSL/TLS
  • Détection de modifications non autorisées du contenu
5/ Les vulnérabilités des applications Web
  • Pourquoi les applications Web sont-elles plus exposées ?
  • Les principaux risques des applications Web selon l'OWASP
  • Les attaques "Cross Site Scripting" ou XSS
  • Les attaques en injection
  • Les attaques sur les sessions
  • Exploitation de vulnérabilités sur le frontal HTTP (ver Nimda, faille Unicode...)
  • Attaques sur les configurations standards (Default Password, Directory Transversal...)
6/ Sécurité des applications web
  • Configurer la sécurité pour des services HTTP
  • Utiliser les ressources de l'OWASP
  • Sécuriser les interactions entre les bases de données et les applications
  • Gestion de l'authentification de sessions
  • Contrôle des fuites d'informations
  • Validation des saisies
7/ Développement de la sécurité Ajax
  • Identification des éléments principaux d'Ajax. Échange d'informations de façon asynchrone
  • Gestion des interactions imprévisibles. Identification de vulnérabilités JSON
8/ Sécurisation des services web XML
  • Diagnostic des vulnérabilités XML
  • Repérage des balises non terminées et des dépassements de champs
  • Révéler les faiblesses de services web
  • Protection de l'échange de messages SOAP
  • Validation des saisies avec un schéma XML
  • Chiffrement des échanges avec HTTPS
  • Mise en œuvre d'un cadre de sécurité des services web
9/ Scans d'applications pour identifier les faiblesses
  • Configuration et utilisation de scanners
  • Recherche par motifs pour identifier les erreurs
  • Découverte de vulnérabilités inconnues grâce au "fuzzing"
  • Détection des défauts dans les applications
  • Scans d'applications à distance
  • Trouver les vulnérabilités dans les applications Web grâce aux outils de test d'intrusion de l'OWASP et de tiers
10/ Bonnes pratiques pour la sécurité web
  • Adoption des normes
  • Réduction des risques en mettant en œuvre des architectures éprouvées
  • Gestion des données personnelles et financières
  • Gestion de la sécurité réseau
  • Modélisation des menaces pour diminuer les risques
  • Intégration d'applications à votre architecture réseau
Approche Pédagogique

Approche Pédagogique

  • Pédagogie très opérationnelle fondée sur l'alternance entre théorie et pratique
  • Cas pratiques
  • Remise d’outils
  • Echanges d’expériences
Public Cible

Personnes Visées

  • Développeurs
  • Testeurs
  • Administrateurs
  • Architectes
  • Toute personne concernée par la sécurité des applications Web
Dates

Dates

  • Du 24 au 28 Juin 2024
  • Du 23 au 27 Sept. 2024
  • Du 23 au 27 Déc. 2024
  • Fin d'Inscription :
    Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email : Au minimum 15 JOURS OUVRÉS avant la date de formation.