Formation
Sécurité des
applications WEB

Inscrivez-vous
Certification associée : ESD-DEVSEC 

Le but de cette formation est d’acquérir des compétences en programmation et en sécurisation efficace des serveurs et services web. 

Ces fonctions étant souvent oubliées, notre formation aborde le Secure code, le durcissement des infrastructures WEB et les cycles de développement sécurisé.

  • Financement CPF possible
  • Durée : 3 jours
  • Prix : 2100 Euros HT (certification ESD-DEVSEC + 549 € HT)
  • Disponible en ligne

Public : consultant en cybersécurité, administrateur système, ingénieur en informatique, développeur.

Prérequis : connaissances généralistes en programmation WEB ainsi qu'en système et réseau.

Programme de la formation

Jour 1 matin

  • Section 1 – Introduction

    • Panorama de la sécurité web

    • Les normes, lois

    • Les référentiels

    • Les groupes de réflexion

  • Section 2 – Protocole HTTP

    • Client/serveur, AJAX, DOM

    • Les headers

    • Les status code

    • Les méthodes

    • TD / Ouverture sur Burp suite

Jour 1 après-midi

  • Section 2 – Top 10 OWASP 2021 (Basé sur Burp suite) 

    • Mise en place du lab

    • Introduction au TOP10 OWASP, TOP 25 SANS, Veracode

    • Les différentes Injections (SQL, LDAP, code, etc.)

    • TD / injection SQL et injection de code

    • Authentification

    • TD /  Session hijacking (MITM proxy) , brute force (cewl + Cupp.py)

    • Exposition de données sensibles

    • TD /  Burp Spider, Shodan, dorks, dirbuster, inspection de code, GIT

Jour 2 matin

  • XXE

  • TP /  challenge XXE

  • Sécurisation des accès

  • TD / élévation de privilège (bypass CORS, cookie tamering)

  • Mauvaise configuration de sécurité

  • TD / vulnérabilité SSRF

  • Cross-Site Scripting (XSS)

  • Stored

  • Reflected

  • Dom based

  • TD / defacing avec XSS

  • TP / vol de cookie via CSRF

Jour 2 après-midi

  • Désérialisation non sécurisée

  • TD / élévation de privilège via cookie sérialisé

  • Composants vulnérables

  • TD / scan de vulnérabilité (WPScan, Nikto, Openvas, NMAP) et framework offensif (Metasploit)

  • Logging et monitoring

  • TP / DoS d’une application 

Jour 3 matin

  • Section 3 – Hardening applicatif par la pratique

  • Sécuriser une authentification (captcha, anti bruteforce)

  • Gestion des mots de passe (salage dynamique, modification des status code)

  • Management des sessions (timeout de déconnexion, secure FLAG, HTTP ONLY)

  • Contrôle d’accès (lister les rôles, privilèges, actions, story board)

  • Validation des entrées (lister les entrées présentes sur une application, variables, en-têtes HTTP)

  • Encodage des entrées (HTML purifier)

  • Encodage des sorties 

  • Sécuriser un upload de fichier

  • Token anti-CSRF

  • Management des logs

  • TP / Création d’une todo-list

Jour 3 après-midi

  • Section 4 – Hardening client/serveur par la pratique 

    • CSP

    • SOP

    • CORS

    • HSTS

    • X-Frame option

    • DAST, SAST, WAF et durcissement

    • Ouverture avec l’OWASP testing guide, ASVS

     

La formation comprend

Support .pdf
Cahier d'exercices
Machines virtuelles

Formateurs officiels ESD

Liste des formateurs certifiés par l’ESD pour cette formation.

Photo Mehdi Aberkane
Mehdi Aberkane
Linkedin

Tester vos compétences

en sécurité des applications WEB avec la certification ESD-DEVSEC

Certification ESD-DEVSEC