Sécurité des applications WEB

Fiche formation
image du badge sécurité des applications WEB

Objectifs pédagogiques : acquérir des compétences en programmation et sécuriser efficacement un serveur web / une application.

Pré-requis : connaissances généralistes en programmation web.

Durée : 3 jours

Public : Développeur, pentester.

Jour 1 matin

  • Section 1 - Introduction

    • Panorama de la sécurité web

    • Les normes, lois

    • Les référentiels

    • Les groupes de réflexions

  • Section 2 - Protocole HTTP

    • Client/serveur, AJAX, DOM

    • Les headers

    • Les status code

    • Les méthodes

    • TD / Ouverture sur Burp suite

Jour 1 après-midi

  • Section 2 - Top 10 OWASP 2017 (Basé sur Burp suite) 

    • Mise en place du lab

    • Introduction au TOP10 OWASP, TOP 25 SANS, Veracode

    • Les différentes Injections (SQL, LDAP, code, etc)

      • TD / injection SQL et injection de code

    • Authentification

      • TD /  Session hijacking (MITM proxy) , brute force (cewl + Cupp.py)

      • Exposition de données sensibles

      • TD /  Burp Spider, Shodan, dorks, dirbuster, inspection de code, GIT

Jour 2 matin

    • XXE

      • TP /  challenge XXE

      • Sécurisation des accès

      • TD / élévation de privilèges (bypass CORS, cookie tamering)

    • Mauvaise configuration de sécurité

      • TD / vulnérabilité SSRF

    • Cross-Site Scripting (XSS)

      • Stored

      • Reflected

      • Dom based

      • TD / defacing avec XSS

      • TP / vol de cookie via CSRF

Jour 2 après-midi

    • Désérialisation non sécurisée

      • TD / élévation de privilège via cookie sérialisé

    • Composants vulnérables

      • TD / scan de vulnérabilité (WPScan, Nikto, Openvas, NMAP) et framework offensif (Metasploit)

    • Logging et monitoring

      • TP / DoS d’une application 

Jour 3 matin

  • Section 3 - Hardening applicatif par la pratique

    • Sécuriser une authentification (captcha, anti bruteforce)

    • Gestion des mots de passe (salage dynamique, modification des status code)

    • Management des sessions (timeout de déconnexion, secure FLAG, HTTP ONLY)

    • Contrôle d’accès (lister les rôles, privilèges, actions, story board)

    • Validation des entrées (lister les entrées présentes sur une application, variables, en-têtes HTTP)

    • Encodage des entrées (HTML purifier)

    • Encodage des sorties 

    • Sécuriser un upload de fichier

    • Token anti-CSRF

    • management des logs

    • TP / Création d’une todo-list

Jour 3 après-midi

  • Section 4 - Hardening client/serveur par la pratique 

    • CSP

    • SOP

    • CORS

    • HSTS

    • X-Frame option

    • DAST, SAST, WAF et durcissement

    • Ouverture avec l’OWASP testing guide, ASVS

    • Examen pour l’obtention d’un badge ESD academy (https://badges.esdacademy.eu)

Certification ou badge : badge

Durée de l'examen : 2 heures

Type d'examen : QCM

Cette formation permet de valider 0 point de compétence pour le Mastère ESD academy.

Pour obtenir le diplôme "Mastère ESD academy", il est nécessaire de valider 12 points de compétence ainsi que le passage devant un jury.

Livret stagiaire : livret_stagiaire_securitedesapplicationsweb.pdf

Cahier d'exercice : cahier_exercice_securitedesapplicationsweb.pdf

Machines virtuelles : VM_securitedesapplicationsWEB.ova

Aide-mémoire :pas encore disponible

Contactez-nous pour une inscription ou tout renseignement concernant la formation.