Formation Sécurité des applications WEB

Public concerné : consultant en cybersécurité, administrateur système, ingénieur en informatique, développeur.

Prérequis : connaissances généralistes en programmation WEB ainsi qu’en système et réseau.

Description :

La formation “Sécurité des applications web” proposée par l’ESD Cybersecurity Academy est conçue pour les professionnels de la cybersécurité souhaitant se spécialiser dans la sécurisation des applications web. Cette formation avancée fournit aux participants une compréhension complète des vulnérabilités des applications web, des techniques d’attaque courantes et des méthodologies de tests de sécurité pour identifier et exploiter ces vulnérabilités. Les participants apprendront également à utiliser des outils et des techniques pour sécuriser efficacement les applications web contre ces vulnérabilités.

Les sujets abordés dans cette formation comprennent l’identification et la compréhension des vulnérabilités courantes telles que l’injection SQL, les attaques XSS et CSRF, les vulnérabilités liées à l’authentification et à l’autorisation, ainsi que l’analyse de la sécurité des applications mobiles. Les participants apprendront également les méthodologies de test d’intrusion pour les applications web, y compris les tests de pénétration manuels et automatisés, les tests d’exploitation de vulnérabilités et les tests de sécurité de configuration.

La formation “Sécurité des applications web” est destinée aux professionnels de la cybersécurité, y compris les ingénieurs en sécurité, les analystes de sécurité, les testeurs de sécurité et les administrateurs de système souhaitant se spécialiser dans la sécurité des applications web. Les participants doivent avoir une connaissance préalable des concepts de sécurité des réseaux et des systèmes, ainsi que des connaissances de base en développement d’applications web.

À la fin de la formation, les participants seront en mesure de comprendre les vulnérabilités courantes des applications web, de mettre en œuvre des tests d’intrusion et d’exploitation pour les identifier, et de mettre en place des mesures de sécurité efficaces pour protéger les applications web contre ces vulnérabilités.

Objectifs pédagogiques :

– Comprendre les concepts de sécurité des applications web

– Identifier les vulnérabilités courantes dans les applications web, telles que les injections SQL, les attaques XSS, les failles de sécurité CSRF et les problèmes d’authentification

– Apprendre les méthodes pour corriger les vulnérabilités courantes dans les applications web

– Comprendre les bonnes pratiques de développement pour développer des applications web sécurisées

– Apprendre à utiliser les outils et techniques pour détecter les vulnérabilités de sécurité dans les applications web

– Savoir comment élaborer un plan de sécurité pour les applications web, y compris la gestion des risques, la planification des tests de sécurité et la documentation des résultats

Programme de la formation

Jour 1 matin

Section 1 – Introduction
- Panorama de la sécurité web
- Les normes, lois
- Les référentiels
- Les groupes de réflexion

Section 2 – Protocole HTTP
- Client/serveur, AJAX, DOM
- Les headers
- Les status code
- Les méthodes
- TD / Ouverture sur Burp suite

Jour 1 après-midi

Section 2 – Top 10 OWASP 2021 (Basé sur Burp suite)
- Mise en place du lab
- Introduction au TOP10 OWASP, TOP 25 SANS, Veracode
- Les différentes Injections (SQL, LDAP, code, etc.)
- TD / injection SQL et injection de code
- Authentification
- TD / Session hijacking (MITM proxy) , brute force (cewl + Cupp.py)
- Exposition de données sensibles
- TD / Burp Spider, Shodan, dorks, dirbuster, inspection de code, GIT

Jour 2 matin

XXE
TP / challenge XXE
Sécurisation des accès
TD / élévation de privilège (bypass CORS, cookie tamering)
Mauvaise configuration de sécurité
TD / vulnérabilité SSRF
Cross-Site Scripting (XSS)
Stored
Reflected
Dom based
TD / defacing avec XSS
TP / vol de cookie via CSRF

Jour 2 après-midi

Désérialisation non sécurisée
TD / élévation de privilège via cookie sérialisé
Composants vulnérables
TD / scan de vulnérabilité (WPScan, Nikto, Openvas, NMAP) et framework offensif (Metasploit)
Logging et monitoring
TP / DoS d’une application

Jour 3 matin

Section 3 – Hardening applicatif par la pratique

Sécuriser une authentification (captcha, anti bruteforce)
Gestion des mots de passe (salage dynamique, modification des status code)
Management des sessions (timeout de déconnexion, secure FLAG, HTTP ONLY)
Contrôle d’accès (lister les rôles, privilèges, actions, story board)
Validation des entrées (lister les entrées présentes sur une application, variables, en-têtes HTTP)
Encodage des entrées (HTML purifier)
Encodage des sorties
Sécuriser un upload de fichier
Token anti-CSRF
Management des logs
TP / Création d’une todo-list

Jour 3 après-midi

Section 4 – Hardening client/serveur par la pratique
- CSP
- SOP
- CORS
- HSTS
- X-Frame option
- DAST, SAST, WAF et durcissement
- Ouverture avec l’OWASP testing guide, ASVS

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Formation Sécurité des applications WEB

Description :

Objectifs pédagogiques :

Programme de la formation

La formation comprend

Support .pdf

Cahier d'exercices

Machines virtuelles

Formateurs officiels ESD

Mehdi Aberkane

Tester vos compétences

Suivez-nous

Newsletter

Contact

Chartes

Informations légales

Contenu du site

Hébergement

Politique de protection des données

Mesures de confidentialité et de sécurité

Destinataires des données

Partage des réseaux sociaux auprès desquels vous avez un compte

Nous contacter

Qui est responsable du traitement des données personnelles ?