Réf : SSI_Tr1
Résumé
Cette formation vous permettra d’identifier, de comprendre et de régler les problèmes de sécurité que l’on retrouve communément dans les applications web. Ainsi, les travaux pratiques permettront de se mettre tantôt à la place de l’attaquant, tantôt à la place de l’attaqué afin de mieux appréhender les vecteurs d’attaque et comprendre comment protéger ses applications.
Public concerné
- Développeurs
- Webmasters
- Chargés de projets Web
- Architectes
- Consultants
Pré-requis
- Maîtriser les bases du développement Web
- Connaissances de base des réseaux TCP/IP et d’Internet.
Objectifs
- Comprendre les menaces qui visent une application web
- Comprendre et appliquer les stratégies utilisées pour compromettre une application web
- Veiller à la sécurité des applications web
- Comprendre et régler les problèmes de design
- Comprendre et régler les problèmes d’implémentation
- Failles d’injections : SQLi/XSS…
- Failles de design, CSRF, Auth…
- Cryptographie, stockage, sessions…
Contenu
Introduction
- Contexte et chiffres
- Concepts de sécurité
- Terminologie
Injection
- Définition
- Exemples de scénarios d’attaque
- Prévention
- Travaux pratiques
Violation de gestion d’authentification et de session
- Définition
- Conseils et bonnes pratiques
Cross-Site Scripting (XSS)
- Définition et types de XSS
- Exemples de scénarios d’attaque
- Prévention
- Travaux pratiques
Références directes non sécurisées à un objet
- Définition
- Conseils et bonnes pratiques
- Travaux pratiques
Mauvaise configuration sécurité
- Exemples d’attaques
- Prévention
Exposition de données sensibles
- Risques
- Cryptographie
- Stockage des mots de passe et autres données
- Travaux pratiques
Manque de contrôle d’accès au niveau fonctionnel
- Risques
- Prévention
Falsification de requête inter-site (CSRF)
- Définition
- Risques
- Prévention
- Travaux pratiques
Utilisation de composants avec des vulnérabilités connues
- Risques
- Prévention
Redirections et renvois non validés
- Risques
- Prévention
- Travaux pratiques
Environnement de formation
- Un support de formation sera fourni au format papier à chaque stagiaire.
- Une salle de formation avec vidéo-projecteur, un tableau blanc et 1 PC par stagiaire.
- Une machine virtuelle sous Virtual Box sera également installée sur les machines de formation afin de réaliser les exercices pratiques.
Durée
2 jours (le contenu peut être adapté en fonction du contexte technologique mais aussi du niveau de connaissance des stagiaires).
- La formation peut être assurée en présentiel ainsi qu’en distanciel
- La formation peut se dérouler en inter-entreprise ou en intra-entreprise
Plus d’informations ?
Veuillez nous contacter au +33 6 70 16 46 35 ou par courrier électronique : formation@ablogix.fr pour obtenir un devis.
L’activité de formation de ABlogiX est « enregistrée sous le numéro 52 72 01527 72. Cet enregistrement ne vaut pas agrément de l’État », conformément à l’article L6322-48.
