PLB CONSULTANT : 04. Sécurité des applications

Présentation des menaces, vulnérabilités des applications Web

Présentation des différents efforts de standardisation de la terminologie liée à la sécurité

Typologie des menaces selon le WASC, le top 10 des menaces selon OWASP

Failles applicatives : injection, protection d'URL, faille de référence, stockage non sécurisé

Attaques côté client : Cross Site Scripting (XSS), gestion de session et authentification, attaque CSRF, Phishing…

Failles de configuration : attaques sur les configurations standard

Attaques de type DDOS

Les dangers spécifiques du Web 2.0

Atelier

Objectifs :

Découvrir les attaques les plus classiques du Web

Comprendre comment mettre en place une attaque pour s’en protéger

Savoir identifier les failles de sécurité les plus courantes

Description :

Mise en place d’une attaque : Cross Site Scripting

Exploiter une faille sur le frontal http

Contourner une authentification par injection de requête SQL

Analyser un site web à l’aide de l’outil OWASP ZAP

Technologies liées à la sécurité

Firewalls, panorama des outils, techniques de base réseaux

Filtres des requêtes HTTP

Empreinte de message, les algorithmes SHA-x et MD5

Signature numérique, Clé publique/ clé privée, Coffre à clé et coffre de confiance, Autorités de certification

Chiffrement de données, les algorithmes AES et RSA

Protocoles SSL v2/v3 et TLS, PKI, certificats X509,

Techniques d'authentification HTTP, authentification par certificat

Atelier

Objectifs :

Comprendre comment les technologies de sécurité sont mises en place

Observer le comportement d’un site web sécurisé

Description :

Installation et utilisation d’un analyseur de trame réseau

Utilisation d’un proxy d’analyse http

Sécuriser les applications Web

Protections basiques : Re-post des données, Time-out et déconnexion, Masquer les URL, Validation des données

Usurpation d'identité : Cookies et certificats numériques, Session ID et jeton de transaction, Détournement

Se protéger des attaques client : XSS ou Cross Site Scripting, Utilisation des références directes, CSRF ou Cross Site Request Forgery, Sécurité d'accès au SGBD, SQL Injection, Utilisation du JavaScript, Échappement des tags HTML

Protections contre les attaques de force brute, Liste de contrôle d'accès

Atelier

Objectifs :

Comprendre comment le chiffrement modifie le comportement d’un serveur Web

Savoir déployer un protocole de chiffrement

Description :

Mise en œuvre de TLS sur IIS et Apache

Simuler une attaque sur les flux HTTPS avec sslstrip et sslsnif

Sécuriser un frontal Web (Apache et IIS)

Sécuriser les services Web

Principes de fonctionnement : SOAP, REST, gRPC

Principes de sécurisation : authentification, autorisation, confidentialité et intégrité

Mise en place de la sécurisation : OAUTH, SAML, Token, Web Services Security (WS-Security, WSS), …

Atelier

Objectifs :

Comprendre les différences entre les implémentations de WebService

Savoir identifier et implémenter les mécanismes de sécurité des WebService

Description :

Construire une WebAPI respectant les bonnes pratiques

Mettre en place une authentification OAUTH sur des services Web

Contrôler la sécurité des applications Web

Test d'intrusion, audit de sécurité, scanners de vulnérabilités

Organiser une veille technologique efficace

Déclaration des incidents de sécurité

Démonstration

Mise en œuvre d'un serveur Web avec certificat X509 EV : analyse des échanges protocolaires

Exploitation d'une faille de sécurité critique sur le frontal HTTP

Attaque de type HTTPS Stripping

Gestion de la sécurité mobile

Composants d’un système d’exploitation mobile

Risques auxquels sont exposés les appareils mobiles

Les principales menaces pesant sur les appareils mobiles

Étudier les outils de piratage des appareils mobiles

Méthode pour sécuriser les environnements mobiles

Atelier

Objectifs :

Savoir implémenter les bonnes pratiques de sécurité d’une application mobile

Description :

Parcourir et personnaliser les composants de sécurité d’une application mobile iOS

Parcourir et personnaliser les composants de sécurité d’une application mobile Android