Nos domaines de formation :

Formation Sécurité des applications Web, synthèse

4,6 / 5
Séminaire
meilleur vente
Durée : 2 jours
Réf : SEW
Prix  2019 : 1960 € H.T.
Pauses et déjeuners offerts
  • Programme
  • Participants / Prérequis
  • Intra / sur-mesure
  • avis vérifiés
Programme

Ce séminaire dresse un panorama des menaces du Web. Il détaille les failles des navigateurs, réseaux sociaux et du Web 2.0, les nouvelles vulnérabilités sur SSL/TLS et certificats X509, ainsi que des applications Java EE, .NET et PHP. Il présente les solutions pour protéger et contrôler la sécurité des applications.

Objectifs pédagogiques

  • Identifier les menaces de sécurité sur les applications Web
  • Connaître les protocoles de sécurité Web
  • Comprendre les typologies d'attaque
  • Sécuriser les applications Web
PROGRAMME DE FORMATION

Menaces, vulnérabilités des applications Web

  • Risques majeurs des applications Web selon IBM X-Force IBM et OWASP.
  • Attaques de type Cross Site Scripting (XSS), injection et sur sessions.
  • Propagation de faille avec un Web Worm.
  • Attaques sur les configurations standard.

Protocoles de sécurité SSL, TLS

  • SSL v2/v3 et TLS, PKI, certificats X509, autorité de certification.
  • Impact de SSL sur la sécurité des firewalls UTM et IDS/IPS.
  • Failles et attaques sur SSL/TLS. Techniques de capture et d'analyse des flux SSL.
  • Attaque HTTPS stripping sur les liens sécurisés.
  • Attaques sur les certificats X509, protocole OCSP.
  • SSL et les performances des applications Web.

Attaques ciblées sur l'utilisateur et le navigateur

  • Attaques sur les navigateurs Web, Rootkit.
  • Sécurité des Smartphones pour le surf sur le Net.
  • Codes malveillants et réseaux sociaux.
  • Les dangers spécifiques du Web 2.0.
  • Les techniques de Social Engineering.

Attaques ciblées sur l'authentification

  • Authentification via HTTP, SSL par certificat X509 client.
  • Mettre en œuvre une authentification forte, par logiciel.
  • Solution de Web SSO non intrusive (sans agent).
  • Principales attaques sur les authentifications.

Sécurité des Web Services

  • Protocoles, standards de sécurité XML Encryption, XML Signature, WS-Security/Reliability.
  • Attaques d'injection (XML injection...), brute force ou par rejeu.
  • Firewalls applicatifs pour les Web Services.
  • Principaux acteurs et produits sur le marché.

Sécuriser efficacement les applications Web

  • Durcissement, hardening : sécuriser le système et le serveur HTTP.
  • Virtualisation et sécurité des applications Web.
  • Environnements .NET, PHP et Java. Les 5 phases du SDL.
  • Techniques de fuzzing. Qualifier son application avec l'ASVS.
  • WAF : quelle efficacité, quelles performances ?

Contrôler la sécurité des applications Web

  • Pentest, audit de sécurité, scanners de vulnérabilités.
  • Organiser une veille technologique efficace.
  • Déclaration des incidents de sécurité.

Démonstration
Mise en œuvre d'un serveur Web avec certificat X509 EV : analyse des échanges protocolaires. Exploitation d'une faille de sécurité critique sur le frontal HTTP. Attaque de type HTTPS Stripping.

Participants / Prérequis

» Participants

DSI, RSSI, responsables sécurité, développeurs, concepteurs, chefs de projets intégrant des contraintes de sécurité, responsables ou administrateurs réseau, informatique, système.

» Prérequis

Connaissances de base en informatique et en réseaux.
Intra / sur-mesure

Demande de devis intra-entreprise
(réponse sous 48h)

Vos coordonnées

J’ai lu et j’accepte les conditions liées à l’usage de mes données dans le cadre de la réglementation sur la protection des données à caractère personnel (RGPD). Dans ce contexte, j’accepte de recevoir des communications de la part d’ORSYS Formation. Je peux modifier l’usage de mes données via ce formulaire.
Avis vérifiés
picto avis vérifiés
Jean-Daniel B. 13/09/2018
5 / 5
Pas suffisamment de temps pour les démonstrations.

Eric B. 13/09/2018
5 / 5
Contenu très riche qui mériteraient plus d'exemple pratique, si la durée de la session le permettait.

Christophe D. 15/01/2018
5 / 5
Globalement satisfait.

Frédéric C. 11/12/2017
4 / 5
Nécessairement dense mais durée un peu court pour approfondir toues les notions.

CARROUE R. 11/12/2017
4 / 5
Très bon formateur mais parle trop rapidement. Manque une journée pour avoir le temps pour poser des questions et bien comprendre des slides.

Sébastien M. 11/12/2017
5 / 5
Beaucoup d'exemples concrets.

Jean L. 11/12/2017
5 / 5
Animateur très dynamique. Contenu très intéressant. Les nombreux exemples personnels à d'animateur est un vrai plus dans cette formation.

Romain P. 11/12/2017
5 / 5
Pour améliorer et prendre plus de temps pour soigner les schémas du tableau ( parfois dures à refaire), et peut-être ajouter plus d'exemples concrets aux slides ( ex 8 un csr + le crt correspondant, etc).

Laurent P. 11/12/2017
5 / 5
Riche. Aspect juridique bienvenue avec le RGPD en 2018. Disponible

Jean L. 11/12/2017
5 / 5
Contenu clair et bien organisé, formateur qui maitrise parfaitement son sujet et très pédagogue.

Marilyn F. 11/12/2017
5 / 5
La formation correspond à mes attentes et besoins. Un peu rapide peut-être. très bonne pédagogie et qualité du formateur.
Avis client 4,6 / 5

Les avis client sont issus des feuilles d’évaluation de fin de formation. La note est calculée à partir de l’ensemble des avis datant de moins de 12 mois.

Pour vous inscrire

Cliquez sur la ville, puis sur la date de votre choix.
[-]
PARIS

Horaires

Les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45.
Pour les stages pratiques de 4 ou 5 jours, les sessions se terminent à 15h30 le dernier jour.