Se connecter

Formation Sécurité des applications WEB

Certification ESD-DEVSEC

Public concerné : consultant en cybersécurité, administrateur système, ingénieur en informatique, développeur.

Prérequis : connaissances généralistes en programmation WEB ainsi qu’en système et réseau.

Description : 
La formation “Sécurité des applications web” proposée par l’ESD Cybersecurity Academy est conçue pour les professionnels de la cybersécurité souhaitant se spécialiser dans la sécurisation des applications web. Cette formation avancée fournit aux participants une compréhension complète des vulnérabilités des applications web, des techniques d’attaque courantes et des méthodologies de tests de sécurité pour identifier et exploiter ces vulnérabilités. Les participants apprendront également à utiliser des outils et des techniques pour sécuriser efficacement les applications web contre ces vulnérabilités.
 
Les sujets abordés dans cette formation comprennent l’identification et la compréhension des vulnérabilités courantes telles que l’injection SQL, les attaques XSS et CSRF, les vulnérabilités liées à l’authentification et à l’autorisation, ainsi que l’analyse de la sécurité des applications mobiles. Les participants apprendront également les méthodologies de test d’intrusion pour les applications web, y compris les tests de pénétration manuels et automatisés, les tests d’exploitation de vulnérabilités et les tests de sécurité de configuration.
 
La formation “Sécurité des applications web” est destinée aux professionnels de la cybersécurité, y compris les ingénieurs en sécurité, les analystes de sécurité, les testeurs de sécurité et les administrateurs de système souhaitant se spécialiser dans la sécurité des applications web. Les participants doivent avoir une connaissance préalable des concepts de sécurité des réseaux et des systèmes, ainsi que des connaissances de base en développement d’applications web.
 
À la fin de la formation, les participants seront en mesure de comprendre les vulnérabilités courantes des applications web, de mettre en œuvre des tests d’intrusion et d’exploitation pour les identifier, et de mettre en place des mesures de sécurité efficaces pour protéger les applications web contre ces vulnérabilités.
Objectifs pédagogiques :
– Comprendre les concepts de sécurité des applications web
– Identifier les vulnérabilités courantes dans les applications web, telles que les injections SQL, les attaques XSS, les failles de sécurité CSRF et les problèmes d’authentification
– Apprendre les méthodes pour corriger les vulnérabilités courantes dans les applications web
– Comprendre les bonnes pratiques de développement pour développer des applications web sécurisées
– Apprendre à utiliser les outils et techniques pour détecter les vulnérabilités de sécurité dans les applications web
– Savoir comment élaborer un plan de sécurité pour les applications web, y compris la gestion des risques, la planification des tests de sécurité et la documentation des résultats

Programme de la formation

Jour 1 matin

  • Section 1 – Introduction

    • Panorama de la sécurité web

    • Les normes, lois

    • Les référentiels

    • Les groupes de réflexion

  • Section 2 – Protocole HTTP

    • Client/serveur, AJAX, DOM

    • Les headers

    • Les status code

    • Les méthodes

    • TD / Ouverture sur Burp suite

Jour 1 après-midi

  • Section 2 – Top 10 OWASP 2021 (Basé sur Burp suite) 

    • Mise en place du lab

    • Introduction au TOP10 OWASP, TOP 25 SANS, Veracode

    • Les différentes Injections (SQL, LDAP, code, etc.)

    • TD / injection SQL et injection de code

    • Authentification

    • TD /  Session hijacking (MITM proxy) , brute force (cewl + Cupp.py)

    • Exposition de données sensibles

    • TD /  Burp Spider, Shodan, dorks, dirbuster, inspection de code, GIT

Jour 2 matin

  • XXE

  • TP /  challenge XXE

  • Sécurisation des accès

  • TD / élévation de privilège (bypass CORS, cookie tamering)

  • Mauvaise configuration de sécurité

  • TD / vulnérabilité SSRF

  • Cross-Site Scripting (XSS)

  • Stored

  • Reflected

  • Dom based

  • TD / defacing avec XSS

  • TP / vol de cookie via CSRF

Jour 2 après-midi

  • Désérialisation non sécurisée

  • TD / élévation de privilège via cookie sérialisé

  • Composants vulnérables

  • TD / scan de vulnérabilité (WPScan, Nikto, Openvas, NMAP) et framework offensif (Metasploit)

  • Logging et monitoring

  • TP / DoS d’une application 

Jour 3 matin

  • Section 3 – Hardening applicatif par la pratique

  • Sécuriser une authentification (captcha, anti bruteforce)

  • Gestion des mots de passe (salage dynamique, modification des status code)

  • Management des sessions (timeout de déconnexion, secure FLAG, HTTP ONLY)

  • Contrôle d’accès (lister les rôles, privilèges, actions, story board)

  • Validation des entrées (lister les entrées présentes sur une application, variables, en-têtes HTTP)

  • Encodage des entrées (HTML purifier)

  • Encodage des sorties 

  • Sécuriser un upload de fichier

  • Token anti-CSRF

  • Management des logs

  • TP / Création d’une todo-list

Jour 3 après-midi

  • Section 4 – Hardening client/serveur par la pratique 

    • CSP

    • SOP

    • CORS

    • HSTS

    • X-Frame option

    • DAST, SAST, WAF et durcissement

    • Ouverture avec l’OWASP testing guide, ASVS

     

La formation comprend

Support .pdf
Cahier d'exercices
Machines virtuelles

Formateurs officiels ESD

Liste des formateurs certifiés par l’ESD pour cette formation.

Photo Mehdi Aberkane
Mehdi Aberkane

Tester vos compétences

en sécurité des applications WEB avec la certification ESD-DEVSEC