Formation Sécurité des applications WEB
- Financement CPF possible
- Durée : 3 jours
- Prix : 2100 Euros HT (certification ESD-DEVSEC + 549 € HT)
- Disponible en ligne

Public concerné : consultant en cybersécurité, administrateur système, ingénieur en informatique, développeur.
Prérequis : connaissances généralistes en programmation WEB ainsi qu’en système et réseau.
Description :
Objectifs pédagogiques :
Programme de la formation
Jour 1 matin
Section 1 – Introduction
Panorama de la sécurité web
Les normes, lois
Les référentiels
Les groupes de réflexion
Section 2 – Protocole HTTP
Client/serveur, AJAX, DOM
Les headers
Les status code
Les méthodes
TD / Ouverture sur Burp suite
Jour 1 après-midi
Section 2 – Top 10 OWASP 2021 (Basé sur Burp suite)
Mise en place du lab
Introduction au TOP10 OWASP, TOP 25 SANS, Veracode
Les différentes Injections (SQL, LDAP, code, etc.)
TD / injection SQL et injection de code
Authentification
TD / Session hijacking (MITM proxy) , brute force (cewl + Cupp.py)
Exposition de données sensibles
TD / Burp Spider, Shodan, dorks, dirbuster, inspection de code, GIT
Jour 2 matin
XXE
TP / challenge XXE
Sécurisation des accès
TD / élévation de privilège (bypass CORS, cookie tamering)
Mauvaise configuration de sécurité
TD / vulnérabilité SSRF
Cross-Site Scripting (XSS)
Stored
Reflected
Dom based
TD / defacing avec XSS
TP / vol de cookie via CSRF
Jour 2 après-midi
Désérialisation non sécurisée
TD / élévation de privilège via cookie sérialisé
Composants vulnérables
TD / scan de vulnérabilité (WPScan, Nikto, Openvas, NMAP) et framework offensif (Metasploit)
Logging et monitoring
TP / DoS d’une application
Jour 3 matin
Section 3 – Hardening applicatif par la pratique
Sécuriser une authentification (captcha, anti bruteforce)
Gestion des mots de passe (salage dynamique, modification des status code)
Management des sessions (timeout de déconnexion, secure FLAG, HTTP ONLY)
Contrôle d’accès (lister les rôles, privilèges, actions, story board)
Validation des entrées (lister les entrées présentes sur une application, variables, en-têtes HTTP)
Encodage des entrées (HTML purifier)
Encodage des sorties
Sécuriser un upload de fichier
Token anti-CSRF
Management des logs
TP / Création d’une todo-list
Jour 3 après-midi
Section 4 – Hardening client/serveur par la pratique
CSP
SOP
CORS
HSTS
X-Frame option
DAST, SAST, WAF et durcissement
Ouverture avec l’OWASP testing guide, ASVS
La formation comprend
Support .pdf
Cahier d'exercices
Machines virtuelles
Formateurs officiels ESD
Liste des formateurs certifiés par l’ESD pour cette formation.
Tester vos compétences
en sécurité des applications WEB avec la certification ESD-DEVSEC