SSi_Tr3.1 – APPSCAN STANDARD v10.0.2 – Les principes de base

Tests de Sécurité Dynamiques (DAST)

Identification et remédiation des vulnérabilités

Réf : SSI_Tr3.1

Résumé

Cette formation vous permettra de découvrir, approfondir et configurer les capacités du scanner dynamique de sécurité applicative : APPSCAN STANDARD afin d’identifier les vulnérabilités des applications web et web services. Les travaux pratiques permettront de rapidement démarrer des scans puis approfondir les modes et capacités de scans afin de cibler les recherches de vulnérabilités, puis les exercices montreront comment automatiser les exécutions des scans, générer des rapports basés sur les normes, …

Public concerné

  • Développeurs
  • Webmasters
  • Chargés de projets Web
  • Architectes
  • Consultants

Pré-requis

  • Maîtriser les bases du développement Web
  • Connaissances de base des réseaux TCP/IP et d’Internet.

Objectifs

  • Comprendre les différentes fonctionnalités de APPSCAN STANDARD
  • Mettre en œuvre ses capacités de scans en fonction des besoins : type de vulnérabilités ciblées, niveau de sécurisation, maturité du développement (tests unitaires, intégration, pré-prod)
  • Naviguer et utiliser les résultats d’analyse et les conseils à la remédiation
  • Générer des rapports pour les besoins de votre organisation et de vos clients

Contenu

Unité 1 : Découverte de AppScan Standard

  • Qu’est ce que APPSCAN ?
  • Interface utilisateur
  • APPSCAN dans l’environnement de développement SDLC*[1]

[1] SDLC : Software Dévelopment LifeCycle

Unité 2 : Installation et configuration

  • Diagramme des interactions entre les applications APPSCAN
    • AppScan Standard
    • AppScan Enterprise
    • AppScan Source
  • Description de AppScan Standard et son utilisation
  • Aperçu de l’intégration de AppScan dans le cycle de développement
  • Travaux pratiques

Unité 3 : Préparer votre scan

  • Présentation du scan d’application et ses limites
  • Modération des risques de scan d’une application
  • Profiler une application web
  • Présentation du processus de test sous AppScan Standard
  • Spécifier les contraintes/Définir un périmètre d’exploration
  • Permettre une bonne couverture de test de l’application ou permettre une bonne exploration de l’application
  • Conseils et bonnes pratiques

Unité 4 : Configuration du 1er scan

  • Créer un scan en utilisant l’outil de configuration
  • Définir un nom d’hôte et les domaines associés
  • Les modes de connexions
  • Utiliser les politiques de tests appropriées
  • Travaux pratiques

Unité 5 : Analyser les résultats du scan

  • Parcourir l’arborescence des résultats
  • Chercher des informations, vérifier et corriger les vulnérabilités trouvées
  • Filtrer les « faux positifs »
  • Décrire l’état de l’Issue, incluant les effets de bord
  • Déterminer la sévérité de l’Issue
  • Retester une Issue
  • Conseils et bonnes pratiques
  • Travaux pratiques

Unité 6 : Rapport et diffusion des résultats

  • Présentation des différents types de rapport
  • Exporter les résultats de scans vers d’autres solutions de sécurité

Unité 7 : Connexion et gestion des sessions

  • Description de la gestion des sessions et comment comment l’utiliser dans AppScan Standard
  • Paramétrage de session active/ouverte
  • Réaliser des tests avec différents niveaux de privilèges

Unité 8 : Les modes de scan

  • Définir les différents modes et phases de scan
  • Apprendre à utiliser chaque mode
  • Apprendre à les combiner pour obtenir la meilleure couverture/exploration d’une application web

Unité 9 : Configurer les options d’exploration

  • Comprendre les paramètres de limitation de scan
  • Déterminer quand activer Javascript
  • Configurer AppScan pour exécuter JavaScript
  • Configurer AppScan pour scanner les applications basées sur Adobe Flash/les application Flash
  • Configurer AppScan pour utiliser les différents « user-agents » et types de navigateur
  • Travaux pratiques

Unité 10 : Optimiser votre scan

  • Définir le contexte de l’application à scanner : OS, Server Web, …
  • Exclusion de l’exploration/scan de certaines régions de l’application
  • Enregistrement d’une séquence opérationnelle
  • Planification de scans
  • Communication et paramétrage du proxy

Unité 11 : Scan orienté « Content-based »

  • Configurer APPSCAN STANDARD pour utiliser les « mega-scripts »
  • Extraire les noms du contenu de page

Environnement de formation

  • Un support de formation sera fourni au format papier à chaque stagiaire.
  • Une salle de formation avec vidéo-projecteur, un tableau blanc et 1 PC par stagiaire.
  • Une machine virtuelle sous Virtual Box sera installée sur les machines de formation afin de réaliser les exercices pratiques.

Durée

1 jour (le contenu peut aussi être adapté en fonction du contexte technologique et du niveau de connaissance des stagiaires).

  • La formation peut être assurée en présentiel ainsi qu’en distanciel
  • La formation peut se dérouler en inter-entreprise ou en intra-entreprise

Plus d’informations ?

Veuillez nous contacter au +33 2 85 29 43 43 ou par courrier électronique : formation@ablogix.fr pour obtenir un devis.


L’activité de formation de ABlogiX est « enregistrée sous le numéro 52 72 01527 72. 
Cet enregistrement ne vaut pas agrément de l’État », conformément à l’article L6322-48.