menu logo orsys formation
NOUS CONTACTER - +33 (0)1 49 07 73 73
NOUS CONTACTER - 📞 +33 (0)1 49 07 73 73    espace pro ESPACE PRO     inscription formation orsys S'INSCRIRE     drapeau francais   drapeau anglais
Nos domaines de formation :
Toutes nos formations Cybersécurité : mise en oeuvre

Formation Sécurité des applications Web

3,9 / 5
Stage pratique
Best
Durée : 3 jours
Réf : SER
Prix  2019 : 2030 € H.T.
Pauses et déjeuners offerts
  • Programme
  • Participants / Prérequis
  • Intra / sur-mesure
  • avis vérifiés
Programme

L'intrusion sur les serveurs de l'entreprise représente un risque majeur. Il est essentiel de comprendre et d'appliquer les technologies et les produits permettant d'apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d'un service en ligne à partir d'exemples concrets d'attaques et de ripostes adaptées.

Objectifs pédagogiques

  • Identifier les vulnérabilités les plus courantes des applications Web
  • Comprendre le déroulement d'une attaque
  • Tester la sécurité de ses applications Web
  • Configurer un serveur Web pour chiffrer le trafic Web avec HTTPS
  • Mettre en place des mesures de sécurisation simples pour les applications Web

Travaux pratiques

Des sites en ligne sécurisés et protégés (firewall multi-DMZ) seront déployés, une accélération SSL, un proxy d'analyse du protocole HTTP, un injecteur de flux HTTP(S), une authentification forte par certificat, des outils d'attaques sur les flux HTTPS...
PROGRAMME DE FORMATION

Introduction

  • Statistiques et évolution des failles liées au Web selon IBM X-Force et OWASP.
  • Evolution des attaques protocolaires et applicatives.
  • Le monde des hackers : qui sont-ils ? Quels sont leurs motivations, leurs moyens ?

Constituants d'une application Web

  • Les éléments d'une application N-tiers.
  • Le serveur frontal HTTP, son rôle et ses faiblesses.
  • Les risques intrinsèques de ces composants.
  • Les acteurs majeurs du marché.

Le protocole HTTP en détail

  • Rappels TCP, HTTP, persistance et pipelining.
  • Les PDU GET, POST, PUT, DELETE, HEAD et TRACE.
  • Champs de l'en-tête, codes de status 1xx à 5xx.
  • Redirection, hôte virtuel, proxy cache et tunneling.
  • Les cookies, les attributs, les options associées.
  • Les authentifications (Basic, Improved Digest...).
  • L'accélération HTTP, proxy, le Web balancing.
  • Attaques protocolaires HTTP Request Smuggling et HTTP Response splitting.

Travaux pratiques
Installation et utilisation de l'analyseur réseau Wireshark. Utilisation d'un proxy d'analyse HTTP spécifique.

Les vulnérabilités des applications Web

  • Pourquoi les applications Web sont-elles plus exposées ?
  • Les risques majeurs des applications Web selon l'OWASP (Top Ten 2017).
  • Les attaques "Cross Site Scripting" ou XSS - Pourquoi sont-elles en pleine expansion ? Comment les éviter ?
  • Les attaques en injection (Commandes injection, SQL Injection, LDAP injection...).
  • Les attaques sur les sessions (cookie poisonning, session hijacking...).
  • Exploitation de vulnérabilités sur le frontal HTTP (ver Nimda, faille Unicode...).
  • Attaques sur les configurations standard (Default Password, Directory Transversal...).

Travaux pratiques
Attaque Cross Site Scripting. Exploitation d'une faille sur le frontal http. Contournement d'une authentification par injection de requête SQL.

Le firewall réseau dans la protection d'applications HTTP

  • Le firewall réseau, son rôle et ses fonctions.
  • Combien de DMZ pour une architecture N-Tiers ?
  • Pourquoi le firewall réseau n'est pas apte à assurer la protection d'une application Web ?

Sécurisation des flux avec SSL/TLS

  • Rappels des techniques cryptographiques utilisées dans SSL et TLS.
  • Gérer ses certificats serveurs, le standard X509.
  • Qu'apporte le nouveau certificat X509 EV ?
  • Quelle autorité de certification choisir ?
  • Les techniques de capture et d'analyse des flux SSL.
  • Les principales failles des certificats X509.
  • Utilisation d'un reverse proxy pour l'accélération SSL.
  • L'intérêt des cartes crypto hardware HSM.

Travaux pratiques
Mise en œuvre de SSL sous IIS et Apache. Attaques sur les flux HTTPS avec sslstrip et sslsnif.

Configuration du système et des logiciels

  • La configuration par défaut, le risque majeur.
  • Règles à respecter lors de l'installation d'un système d'exploitation.
  • Linux ou Windows. Apache ou IIS ?
  • Comment configurer Apache et IIS pour une sécurité optimale ?
  • Le cas du Middleware et de la base de données. Les V.D.S. (Vulnerability Detection System).

Travaux pratiques
Procédure de sécurisation du frontal Web (Apache ou IIS).

Principe du développement sécurisé

  • Sécurité du développement, quel budget ?
  • La sécurité dans le cycle de développement.
  • Le rôle du code côté client, sécurité ou ergonomie ?
  • Le contrôle des données envoyées par le client.
  • Lutter contre les attaques de type "Buffer Overflow".
  • Les règles de développement à respecter.
  • Comment lutter contre les risques résiduels : Headers, URL malformée, Cookie Poisoning... ?

L'authentification des utilisateurs

  • L'authentification via HTTP : Basic Authentication et Digest Authentication ou par l'application (HTML form).
  • L'authentification forte : certificat X509 client, Token SecurID, ADN digital Mobilegov...
  • Autres techniques d'authentification par logiciel : CAPTCHA, Keypass, etc.
  • Attaque sur les mots de passe : sniffing, brute force, phishing, keylogger.
  • Attaque sur les numéros de session (session hijacking) ou sur les cookies (cookie poisoning).
  • Attaque sur les authentifications HTTPS (fake server, sslsniff, X509 certificate exploit...).

Travaux pratiques
Attaque "Man in the Middle" sur l'authentification d'un utilisateur et vol de session (session hijacking).

Le firewall "applicatif"

  • Reverse proxy et firewall applicatif, détails des fonctionnalités.
  • Quels sont les apports du firewall applicatif sur la sécurité des sites Web ?
  • Insérer un firewall applicatif sur un système en production. Les acteurs du marché.

Travaux pratiques
Mise en œuvre d'un firewall applicatif. Gestion de la politique de sécurité. Attaques et résultats.

Participants / Prérequis

» Participants

Administrateurs réseaux, systèmes, Webmaster.

» Prérequis

Connaissances de base en systèmes, réseaux et d'Internet.
Intra / sur-mesure

Demande de devis intra-entreprise
(réponse sous 48h)

Vos coordonnées

En cochant cette case, j’atteste avoir lu et accepté les conditions liées à l’usage de mes données dans le cadre de la réglementation sur la protection des données à caractère personnel (RGPD).
Vous pouvez à tout moment modifier l’usage de vos données et exercer vos droits en envoyant un email à l’adresse rgpd@orsys.fr
En cochant cette case, j’accepte de recevoir les communications à vocation commerciale et promotionnelle de la part d’ORSYS Formation*
Vous pouvez à tout moment vous désinscrire en utilisant le lien de désabonnement inclus dans nos communications.
* Les participants inscrits à nos sessions de formation sont également susceptibles de recevoir nos communications avec la possibilité de se désabonner à tout moment.
Avis vérifiés
picto avis vérifiés
Antoine T. 13/05/2019
4 / 5
Le contenu du stage relève plus d'une sensibilisation que d'une formation. Temps de formation trop court malgré le professionnalisme de l'animateur.

Anthony B. 13/05/2019
5 / 5
Formateur de qualité, dynamique et disponible

Marc L. 13/05/2019
5 / 5
La qualité des impressions laisse à désirer. ce n'est pas toujours lisible

Cyril A. 02/04/2019
4 / 5
Connaissance du formateur très impressionnantes. Dans le cours, il manque un peu de repères pour ne pas se noyer dans un sujet aussi vaste

Stéphane B. 07/01/2019
4 / 5
Pas mal de temps passé sur le rappel des concepts fondamentaux en réseau et système. Il serait opportun de réduire ce temps pour en consacrer plus à la thématique de la formation.

Nadine H. 17/12/2018
3 / 5
Problème de gestion du temps : beaucoup de temps passé sur l'aspect réseau la 1ère journée, la dernière journée devant être consacrée aux mesures contre les menaces a été amputée car retard sur les exercices sur les menaces. La théorie des menaces et des mesures n'a quasiment pas été abordée, le support de cours n'a pas été suivi alors qu'il sembla

Romuald R. 17/12/2018
3 / 5
Trop de sujets qui ne peuvent pas être traité en 3 jours, surtout si on veut faire des exercices pratiques. Donc au final, plusieurs points intéressants qui était dans la description de la formation n'ont même pas été abordés. J'ai l'impression d'avoir perdu 3 jours

HADDAD E. 17/12/2018
4 / 5
trop de digressions rendent difficile le suivi de la structuration du cours et allonge le temps passé sur certains sujets. De ce fait également, la partie solution, qui représente plus de la moitié du support de cours, n'a été abordée qu'a partir de 11 heures le derniers jours. D'où des sujets un peu survolés et d'autres non abordés.

LAURENT G. 17/12/2018
4 / 5
Sans doute trop d'aspects à couvrir en si peu de temps.

Nicolas S. 17/12/2018
4 / 5
Globalement équilibré, une attention plus importante du formateur sur les acquis serait un plus

Antony B. 03/12/2018
4 / 5
... satisfaisants :)

Ronan Q. 03/12/2018
4 / 5
Il y a un problème de rythme, le temps alloué pour les TP est trop long en terme de bloc. Au lieu d'avoir plusieurs heures de TP d'un coup, cela serait mieux je pense d'avoir des pauses-corrections-retour sur les notions utilisées toutes les heures par exemple. Le cours dans son ensemble manque un peu de dynamisme. Le formateur maitrisait bien son sujet et donnait des réponses de qualité aux différentes questions.

Jessica A. 03/12/2018
4 / 5
Les sujets et exercices abordés sont cohérents. La formation mériterait d'être plus longue tant le thème est vaste. Cependant l'intervention orale se limitant à la lecture stricte des slides et à une intervention au cas par cas pour du débug, elle est peu utile et n'apporte quasi rien de plus que les supports.

Rémy P. 03/12/2018
4 / 5
En tant que développeur simple, contrairement à mes collègues calés en réseau, j'ai eu du mal à suivre certains points très techniques. Je pense que ce n'est pas destiné aux développeurs mais plus aux administrateurs Web et réseau.

Christophe C. 03/12/2018
4 / 5
Dérouler les travaux pratiques avec le formateur serait bénéfique et permettrait de transmettre plus d'informations.

Cédric B. 03/12/2018
5 / 5
Formation particulièrement complète et détaillée

Yoann M. 08/10/2018
4 / 5
Très bonne approche introductive de la sécurité des applications web.

Bouthayna C. 01/10/2018
2 / 5
Formation non préparé Pas de tour de table pour recueil les besoins et les attentes Les installations nécessaires pour faire le tp ne sont pas faite ce qui fait perdre du temps et fait dévier le sujet du tp Pas assez d'orientation sur les TPs, on se retrouve à faire des recherches google, c'est pas ce qu'on attend d'une formation

Pierre C. 01/10/2018
3 / 5
Contenu intéressant Machines pas assez préparées pour les TPs Formateur qui lit les slides

Pascal G. 01/10/2018
4 / 5
Des pertes de temps liées à l'environnement de travail. Premières heures inutiles. Documentation partiellement obsolète.
Avis client 3,9 / 5

Les avis client sont issus des feuilles d’évaluation de fin de formation. La note est calculée à partir de l’ensemble des avis datant de moins de 12 mois.

Pour vous inscrire

Cliquez sur la ville, puis sur la date de votre choix.
linkedin orsys
twitter orsys
it! orsys
instagram orsys
pinterest orsys
facebook orsys
youtube orsys