Sécurité des applications web

imgmd

Objectifs

Avant toute mise en ligne d’une application Web celle-ci devrait faire l’objet d’un audit de sécurité afin de vérifier qu’elle ne présente pas de faille majeure.

L’objectif de cette formation est d’apprendre à auditer une apllication Web par un test de pénétration à l’outis automatiques mais aussi manuellement.


Prérequis

Connaissance des langages les plus courant pour le développement d’application Web (HTML5, CSS3, Javascipt, PHP, Python ou autres)

Connaissance de base sur les bases de données (MySQL, MSSQL, PostgreSQL, autres)

Connaissance de base sur les serveurs Web les plus courants


Profils des stagiaires

Développeur d’application Web, Responsable de la sécurité du système d’information, Responsable de projet de développement d’applications Web


Tarif : 2500€HT Durée : 5 jours

Contenu de la formation


  • Rappel sur les technologies du Web et leur évolution

    • Histoire

    • Les langages les plus utilisés

    • Les frameworks

    • Les CMS


  • Tour d’horizon des attaques sur le web

    • Qui? Pourquoi? Comment?

    • Les cibles les plus courantes

    • Les secteurs les plus visés


  • Classification des attaques Web

    • Présentation de l’OWASP

    • Classification des dix attaques les plus courantes (Top 10 OWASP)


  • Installation et configuration d’un serveur Web et d’une base de données

    • Procédure d’installation

    • Les éléments de sécurité dans les fichiers de configuration


  • Outils utiles pour les audits

    • Les outils inclus dans les navigateurs

    • Utilisation d’un proxy (ZAP, BurpSuite)

    • Utilisation d’addons (Tamper Data, Web developper, etc)


  • Passage des contrôle côté client

    • Les failles XSS

    • Technique d’hammeçonnage par injection dans l’URL

    • Passage des CAPTCHA

    • Les bonnes pratiques d’authentifications

    • Bonne pratique et règle de sécurité pour les contrôles côté client


  • Les injections SQL classiques

    • Rappels sur les bases de données

    • Principe des injections SQL

    • Injections SQL avancées

    • Exemples et exercices


  • Les injections SQL en aveugle

    • Principe et Exploitation

    • Exemples et exercices


  • Détection et exploitation des injections SQL

    • Outils de détection

    • Limite des outils automatique et semi-automatique

    • Exercices d’application


  • Se prémunir des injections SQL

    • Au cours du développement

    • Pour un produit déjà développé


  • La faille Upload

    • Passage des extensions, types MIME et Magic number

    • Mise en place d’une shell

    • Saturation du serveur

    • Contre mesure


  • La faille XXE

    • Principe

    • Mise en place et exploitation

    • Comment se protéger


  • Se prémunir des injections SQL

    • Au cours du développement

    • Pour un produit déjà développé


  • Atelier d’audit

Plus d’informations sur