Techniques d'Attaques WEB et les contres mesures.

Plus de 75% de la formation sont des exercices pratiques / mise en situation

Objectifs pédagogiques

À l’issue de la formation, le participant sera en mesure de :

Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre une application vulnérable
Installer, configurer et utiliser des outils permettant d’analyser efficacement vos applications

Public concerné

développeur·se·s Web (frontend, backend, ou full-stack)

Il est important de noter que cette formation nécessite des connaissances de base en informatique et en utilisation d’un ordinateur, ainsi qu’une bonne compréhension de l’anglais, car c’est la langue utilisée pour la plupart des ressources et des documentations.

Programme :

Jour 1

Introduction : le paysage de l’insécurité numérique

Les technologies Web, les risques
Mythes et réalités
Statistiques et évolutions
Retours d’expériences

Attaquants et défenseurs

Le profil des “pirates”, leur arsenal
La défense (politique de sécurité, législation, réponse des éditeurs…)
Le Bug Bounty ; avantages et inconvénients

Architecture d’une application Web et vecteurs d’attaque

Architecture générale : client et serveur HTTP
Navigateurs Web, serveurs HTTP : fonctionnement, faiblesses

Le protocole HTTP

Format des requêtes standards et malicieuses
Génération de requêtes HTTP
Découverte passive d’information
Comprendre les étapes d’une attaque

Mises en pratique :
– Recherche de sources ouvertes, Google dorks
– Scan de ports / Fingerprinting
– Introduction à l’utilisation d’un proxy Web
– Rejeu et injection de requêtes HTTP modifiées

Jour 2

Vulnérabilités des applications Web

L’exposition des applications Web
Classement des risques majeurs selon l’OWASP et le CWE (MITRE)
Analyse des vulnérabilités et des conséquences de leur exploitation
Les principales attaques : “Cross Site Scripting” (XSS) / Les attaques en injection / Les attaques sur les authentifications et sessions / CSRF…

Les vulnérabilités des frameworks et CMS

Outils de détection et d’exploitation

Les scanners de vulnérabilités Web
L’analyse statique de code
Les outils d’analyse manuelle
Exploitation SQL
Brute-force et fuzzing

Mises en pratique :
– Découverte de défauts de gestion de session et d’authentification sur une application
– Exploitation de failles top 10 OWASP

Jour 3

Principe du développement sécurisé

Les écueils
La sécurité dans le cycle de développement
Application à AGILE/SCRUM
Le budget
Le rôle du code côté client
Le contrôle des données envoyées par le client
Les règles de développement à respecter

Bonnes pratiques et contre-mesures

Authentification des utilisateurs et stockage des mots de passe
Chiffrement des flux
Les tests : Intégration de tests de sécurité dans le développement / Réalisation de tests d’intrusion en interne / L’audit de sécurité

Mises en pratique :
– Exploitation de XXE
– Découverte de vulnérabilités sur une application Web, analyse du code source vulnérable

Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
Le dispositif FNE-Formation.
L’OPCO (opérateurs de compétences) de votre entreprise.
Pôle Emploi sous réserve de l’acceptation de votre dossier par votre conseiller Pôle Emploi.

Durée :

3 jours

Lieu :

Intra / Inter – Présentiel / Distanciel

Prix :

1990 € H.T.

Une session par mois

Nous contacter