Aller au contenu principal
Afficher le fil d'ariane

PLB CONSULTANT : 04. Sécurité des applications

Organisme

PLB CONSULTANT
3-5 RUE MAURICE RAVEL
92300 LEVALLOIS PERRET
Voir toutes ses formationsAutres organismes proposant cette formation

Durée

21 heures

Modalités

Formation

  • Classe virtuelle
  • Présentiel

Évaluation

Travaux pratiques. Auto-évaluation en début et en fin de formation.

Prix

Inter
La formation en Inter est dispensée pour un groupe de salariés d’entreprises différentes.
945€ HT / personne
Intra
La formation en Intra est dispensée pour un groupe de salariés d’une seule et même entreprise.
4170€ HT / groupe
4 stagiaires minimum

Public

Architectes, développeurs, analystes, chefs de projets…

Pré-requis

Posséder une bonne connaissance de la programmation objet et de la programmation d’application Web.

Objectifs pédagogiques

- Comprendre les problématiques de sécurité des applications.

- Connaitre les principales menaces et vulnérabilité.

- Appréhender les méthodologies / technologies de protection et de contrôle de la sécurité des applications.

- Mettre en place une stratégie de veille

Programme détaillé

 

Présentation des menaces, vulnérabilités des applications Web

Présentation des différents efforts de standardisation de la terminologie liée à la sécurité

Typologie des menaces selon le WASC, le top 10 des menaces selon OWASP

Failles applicatives : injection, protection d'URL, faille de référence, stockage non sécurisé

Attaques côté client : Cross Site Scripting (XSS), gestion de session et authentification, attaque CSRF, Phishing…

Failles de configuration : attaques sur les configurations standard

Attaques de type DDOS

Les dangers spécifiques du Web 2.0

Atelier

Objectifs :

Découvrir les attaques les plus classiques du Web

Comprendre comment mettre en place une attaque pour s’en protéger

Savoir identifier les failles de sécurité les plus courantes

Description :

Mise en place d’une attaque : Cross Site Scripting

Exploiter une faille sur le frontal http

Contourner une authentification par injection de requête SQL

Analyser un site web à l’aide de l’outil OWASP ZAP

 

Technologies liées à la sécurité

Firewalls, panorama des outils, techniques de base réseaux

Filtres des requêtes HTTP

Empreinte de message, les algorithmes SHA-x et MD5

Signature numérique, Clé publique/ clé privée, Coffre à clé et coffre de confiance, Autorités de certification

Chiffrement de données, les algorithmes AES et RSA

Protocoles SSL v2/v3 et TLS, PKI, certificats X509,

Techniques d'authentification HTTP, authentification par certificat

Atelier

Objectifs :

Comprendre comment les technologies de sécurité sont mises en place

Observer le comportement d’un site web sécurisé

Description :

Installation et utilisation d’un analyseur de trame réseau

Utilisation d’un proxy d’analyse http

 

Sécuriser les applications Web

Protections basiques : Re-post des données, Time-out et déconnexion, Masquer les URL, Validation des données

Usurpation d'identité : Cookies et certificats numériques, Session ID et jeton de transaction, Détournement

Se protéger des attaques client : XSS ou Cross Site Scripting, Utilisation des références directes, CSRF ou Cross Site Request Forgery, Sécurité d'accès au SGBD, SQL Injection, Utilisation du JavaScript, Échappement des tags HTML

Protections contre les attaques de force brute, Liste de contrôle d'accès

Atelier

Objectifs :

Comprendre comment le chiffrement modifie le comportement d’un serveur Web

Savoir déployer un protocole de chiffrement

Description :

Mise en œuvre de TLS sur IIS et Apache

Simuler une attaque sur les flux HTTPS avec sslstrip et sslsnif

Sécuriser un frontal Web (Apache et IIS)

 

Sécuriser les services Web

Principes de fonctionnement : SOAP, REST, gRPC

Principes de sécurisation : authentification, autorisation, confidentialité et intégrité

Mise en place de la sécurisation : OAUTH, SAML, Token, Web Services Security (WS-Security, WSS), …

Atelier

Objectifs :

Comprendre les différences entre les implémentations de WebService

Savoir identifier et implémenter les mécanismes de sécurité des WebService

Description :

Construire une WebAPI respectant les bonnes pratiques

Mettre en place une authentification OAUTH sur des services Web

 

Contrôler la sécurité des applications Web

Test d'intrusion, audit de sécurité, scanners de vulnérabilités

Organiser une veille technologique efficace

Déclaration des incidents de sécurité

Démonstration

Mise en œuvre d'un serveur Web avec certificat X509 EV : analyse des échanges protocolaires

Exploitation d'une faille de sécurité critique sur le frontal HTTP

Attaque de type HTTPS Stripping

Gestion de la sécurité mobile

Composants d’un système d’exploitation mobile

Risques auxquels sont exposés les appareils mobiles

Les principales menaces pesant sur les appareils mobiles

Étudier les outils de piratage des appareils mobiles

Méthode pour sécuriser les environnements mobiles

Atelier

Objectifs :

Savoir implémenter les bonnes pratiques de sécurité d’une application mobile

Description :

Parcourir et personnaliser les composants de sécurité d’une application mobile iOS

Parcourir et personnaliser les composants de sécurité d’une application mobile Android

Sessions

Filtrer les résultats

44 résultats

Modalités pédagogiques
Formation synchrone se déroulant avec la présence physique du (des) formateur(s) et du (des) apprenant(s) réunis dans un même lieu de formation.
Formation combinant des séquences en présentiel et des séquences à distance synchrones ou asynchrones.
Formation à distance, asynchrone, s’appuyant sur une plateforme d’apprentissage, pouvant être complétée par d’autres modalités de formation à distance (visio-conférence…)
Formation à distance, synchrone, s’appuyant sur un dispositif de visio-conférence. La classe virtuelle recrée à distance les conditions d’une formation en salle traditionnelle.
Type de formation
La formation en Inter est dispensée pour un groupe de salariés d’entreprises différentes.
La formation en Intra est dispensée pour un groupe de salariés d’une seule et même entreprise.
Options
Ces sessions ne peuvent être ni annulées ni reportées par l’organisme de formation.

0 résultat