Techniques d'Attaques WEB et les contres mesures.

Basic information regarding medicine.

Objectifs pédagogiques

À l’issue de la formation, le participant sera en mesure de :
  • Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre une application vulnérable
  • Installer, configurer et utiliser des outils permettant d’analyser efficacement vos applications

Public concerné

développeur·se·s Web (frontend, backend, ou full-stack)

Prérequis

◆ Expérience en programmation, idéalement en développement Web (des bases en HTML, JavaScript et SQL sont nécessaires pour les exercices).
◆ Installations nécessaires sur votre machine : des droits d’administration suffisants pour installer les outils nécessaires à la réalisation des travaux pratiques

◆ Avoir un ordinateur avec les accès admin

◆ Avoir une bonne connexion internet dans le cas d’une formation à distance

Durée de la formation

Durée : 3 jours
21 heures

Programme de la formation

 

Jour 1 : contexte, architecture Web et vecteurs d’attaque

Introduction : le paysage de l’insécurité numérique

  •     Les technologies Web, les risques
  •     Mythes et réalités
  •     Statistiques et évolutions
  •     Retours d’expériences

Attaquants et défenseurs

  •     Le profil des “pirates”, leur arsenal
  •     La défense (politique de sécurité, législation, réponse des éditeurs…)
  •     Le Bug Bounty ; avantages et inconvénients

Architecture d’une application Web et vecteurs d’attaque

  •     Architecture générale : client et serveur HTTP
  •     Navigateurs Web, serveurs HTTP : fonctionnement, faiblesses

Le protocole HTTP

  •     Format des requêtes standards et malicieuses
  •     Génération de requêtes HTTP
  •     Découverte passive d’information
  •     Comprendre les étapes d’une attaque

Mises en pratique :
– Recherche de sources ouvertes, Google dorks
– Scan de ports / Fingerprinting
– Introduction à l’utilisation d’un proxy Web
– Rejeu et injection de requêtes HTTP modifiées

 

Jour 2 : détecter la vulnérabilité de vos applications

Vulnérabilités des applications Web

  •     L’exposition des applications Web
  •     Classement des risques majeurs selon l’OWASP et le CWE (MITRE)
  •     Analyse des vulnérabilités et des conséquences de leur exploitation
  •     Les principales attaques : “Cross Site Scripting” (XSS) / Les attaques en injection / Les attaques sur les authentifications et sessions / CSRF…
  •     Les vulnérabilités des frameworks et CMS

Outils de détection et d’exploitation

  •     Les scanners de vulnérabilités Web
  •     L’analyse statique de code
  •     Les outils d’analyse manuelle
  •     Exploitation SQL
  •     Brute-force et fuzzing


Mises en pratique :

– Découverte de défauts de gestion de session et d’authentification sur une application
– Exploitation de failles top 10 OWASP

 

Jour 3 : sécuriser vos applications Web

Principe du développement sécurisé

  •     Les écueils
  •     La sécurité dans le cycle de développement
  •     Application à AGILE/SCRUM
  •     Le budget
  •     Le rôle du code côté client
  •     Le contrôle des données envoyées par le client
  •     Les règles de développement à respecter

Bonnes pratiques et contre-mesures

  •     Authentification des utilisateurs et stockage des mots de passe
  •     Chiffrement des flux
  •     Les tests : Intégration de tests de sécurité dans le développement / Réalisation de tests d’intrusion en interne / L’audit de sécurité

Mises en pratique :
– Exploitation de XXE
– Découverte de vulnérabilités sur une application Web, analyse du code source vulnérable

 

Horaires

En présentiel, les cours ont lieu de 9h à 12h30 et de 14h à 17h30.

En classe à distance, la formation démarre à partir de 9h.

Modalités d’évaluation

L’évaluation se fait en continue au fils des travaux pratiques

Modalités pratiques

Cette formation comporte plusieurs ateliers pratiques sur des infrastructures virtuelles
Les sessions “A distance” sont réalisées avec un outil de visioconférence, permettant au formateur d’adapter sa pédagogie.

STATISTIQUES

Taux de satisfaction : en cours

Nombre de sessions en 2022 : 0

TARIFS

A partie de 2100 euros  HT / personne  (2520 euros TTC)

SESSIONS DE FORMATIONS

Un module de formation est prévu chaque mois

Solutions de financement

Pour trouver la meilleure solution de financement adaptée à votre situation : contactez votre conseiller formation.

Il vous aidera à choisir parmi les solutions suivantes :

  • Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
  • Le dispositif FNE-Formation.
  • L’OPCO (opérateurs de compétences) de votre entreprise.
  • Pôle Emploi sous réserve de l’acceptation de votre dossier par votre conseiller Pôle Emploi.

Tutors

List of the course tutors

Susan Barnett

Architecture Student

Ben Smith

Architecture Student

Time

Everyday from 10:00 to 16:00

Location

Architecture Faculty, Main Hall.

When?

20 Sep 2016 – 03 May 2017