Formation
Sécurité des
applications WEB

Apprenez à protéger vos applications WEB

Le but des cette formation est d’acquérir des compétences en programmation et sécuriser efficacement un serveur web / une application. 

Ces fonctions étant souvent oubliées, notre formation aborde le Secure code, le durcissement des infrastructures WEB et les cycles de développement sécurisé.

Public : consultant en cybersécurité, administrateur système, ingénieur en informatique, développeur.

Prérequis : connaissances généralistes en programmation WEB ainsi qu'en système et réseau.

Programme de la formation

Jour 1 matin

  • Section 1 – Introduction

    • Panorama de la sécurité web

    • Les normes, lois

    • Les référentiels

    • Les groupes de réflexions

  • Section 2 – Protocole HTTP

    • Client/serveur, AJAX, DOM

    • Les headers

    • Les status code

    • Les méthodes

    • TD / Ouverture sur Burp suite

Jour 1 après-midi

  • Section 2 – Top 10 OWASP 2017 (Basé sur Burp suite) 

    • Mise en place du lab

    • Introduction au TOP10 OWASP, TOP 25 SANS, Veracode

    • Les différentes Injections (SQL, LDAP, code, etc)

    • TD / injection SQL et injection de code

    • Authentification

    • TD /  Session hijacking (MITM proxy) , brute force (cewl + Cupp.py)

    • Exposition de données sensibles

    • TD /  Burp Spider, Shodan, dorks, dirbuster, inspection de code, GIT

Jour 2 matin

  • XXE

  • TP /  challenge XXE

  • Sécurisation des accès

  • TD / élévation de privilèges (bypass CORS, cookie tamering)

  • Mauvaise configuration de sécurité

  • TD / vulnérabilité SSRF

  • Cross-Site Scripting (XSS)

  • Stored

  • Reflected

  • Dom based

  • TD / defacing avec XSS

  • TP / vol de cookie via CSRF

Jour 2 après-midi

  • Désérialisation non sécurisée

  • TD / élévation de privilège via cookie sérialisé

  • Composants vulnérables

  • TD / scan de vulnérabilité (WPScan, Nikto, Openvas, NMAP) et framework offensif (Metasploit)

  • Logging et monitoring

  • TP / DoS d’une application 

Jour 3 matin

  • Section 3 – Hardening applicatif par la pratique

  • Sécuriser une authentification (captcha, anti bruteforce)

  • Gestion des mots de passe (salage dynamique, modification des status code)

  • Management des sessions (timeout de déconnexion, secure FLAG, HTTP ONLY)

  • Contrôle d’accès (lister les rôles, privilèges, actions, story board)

  • Validation des entrées (lister les entrées présentes sur une application, variables, en-têtes HTTP)

  • Encodage des entrées (HTML purifier)

  • Encodage des sorties 

  • Sécuriser un upload de fichier

  • Token anti-CSRF

  • management des logs

  • TP / Création d’une todo-list

Jour 3 après-midi

  • Section 4 – Hardening client/serveur par la pratique 

    • CSP

    • SOP

    • CORS

    • HSTS

    • X-Frame option

    • DAST, SAST, WAF et durcissement

    • Ouverture avec l’OWASP testing guide, ASVS

La formation comprend

Support .pdf
Cahier d'exercice
Machines virtuelles

Formateurs officiels ESD

Liste des formateurs certifiés par l’ESD pour cette formation.

Photo Mehdi Aberkane
Mehdi Aberkane

Suivez notre actualité

N’hésitez pas à nous suivre sur les réseaux sociaux