PLB CONSULTANT : 04. Sécurité des applications
Organisme
92300 LEVALLOIS PERRETVoir toutes ses formationsAutres organismes proposant cette formation
Durée
Modalités
- Classe virtuelle
- Présentiel
Travaux pratiques. Auto-évaluation en début et en fin de formation.
Prix
Public
Architectes, développeurs, analystes, chefs de projets…
Pré-requis
Posséder une bonne connaissance de la programmation objet et de la programmation d’application Web.
Objectifs pédagogiques
- Comprendre les problématiques de sécurité des applications.
- Connaitre les principales menaces et vulnérabilité.
- Appréhender les méthodologies / technologies de protection et de contrôle de la sécurité des applications.
- Mettre en place une stratégie de veille
Programme détaillé
Présentation des menaces, vulnérabilités des applications Web
Présentation des différents efforts de standardisation de la terminologie liée à la sécurité
Typologie des menaces selon le WASC, le top 10 des menaces selon OWASP
Failles applicatives : injection, protection d'URL, faille de référence, stockage non sécurisé
Attaques côté client : Cross Site Scripting (XSS), gestion de session et authentification, attaque CSRF, Phishing…
Failles de configuration : attaques sur les configurations standard
Attaques de type DDOS
Les dangers spécifiques du Web 2.0
Atelier
Objectifs :
Découvrir les attaques les plus classiques du Web
Comprendre comment mettre en place une attaque pour s’en protéger
Savoir identifier les failles de sécurité les plus courantes
Description :
Mise en place d’une attaque : Cross Site Scripting
Exploiter une faille sur le frontal http
Contourner une authentification par injection de requête SQL
Analyser un site web à l’aide de l’outil OWASP ZAP
Technologies liées à la sécurité
Firewalls, panorama des outils, techniques de base réseaux
Filtres des requêtes HTTP
Empreinte de message, les algorithmes SHA-x et MD5
Signature numérique, Clé publique/ clé privée, Coffre à clé et coffre de confiance, Autorités de certification
Chiffrement de données, les algorithmes AES et RSA
Protocoles SSL v2/v3 et TLS, PKI, certificats X509,
Techniques d'authentification HTTP, authentification par certificat
Atelier
Objectifs :
Comprendre comment les technologies de sécurité sont mises en place
Observer le comportement d’un site web sécurisé
Description :
Installation et utilisation d’un analyseur de trame réseau
Utilisation d’un proxy d’analyse http
Sécuriser les applications Web
Protections basiques : Re-post des données, Time-out et déconnexion, Masquer les URL, Validation des données
Usurpation d'identité : Cookies et certificats numériques, Session ID et jeton de transaction, Détournement
Se protéger des attaques client : XSS ou Cross Site Scripting, Utilisation des références directes, CSRF ou Cross Site Request Forgery, Sécurité d'accès au SGBD, SQL Injection, Utilisation du JavaScript, Échappement des tags HTML
Protections contre les attaques de force brute, Liste de contrôle d'accès
Atelier
Objectifs :
Comprendre comment le chiffrement modifie le comportement d’un serveur Web
Savoir déployer un protocole de chiffrement
Description :
Mise en œuvre de TLS sur IIS et Apache
Simuler une attaque sur les flux HTTPS avec sslstrip et sslsnif
Sécuriser un frontal Web (Apache et IIS)
Sécuriser les services Web
Principes de fonctionnement : SOAP, REST, gRPC
Principes de sécurisation : authentification, autorisation, confidentialité et intégrité
Mise en place de la sécurisation : OAUTH, SAML, Token, Web Services Security (WS-Security, WSS), …
Atelier
Objectifs :
Comprendre les différences entre les implémentations de WebService
Savoir identifier et implémenter les mécanismes de sécurité des WebService
Description :
Construire une WebAPI respectant les bonnes pratiques
Mettre en place une authentification OAUTH sur des services Web
Contrôler la sécurité des applications Web
Test d'intrusion, audit de sécurité, scanners de vulnérabilités
Organiser une veille technologique efficace
Déclaration des incidents de sécurité
Démonstration
Mise en œuvre d'un serveur Web avec certificat X509 EV : analyse des échanges protocolaires
Exploitation d'une faille de sécurité critique sur le frontal HTTP
Attaque de type HTTPS Stripping
Gestion de la sécurité mobile
Composants d’un système d’exploitation mobile
Risques auxquels sont exposés les appareils mobiles
Les principales menaces pesant sur les appareils mobiles
Étudier les outils de piratage des appareils mobiles
Méthode pour sécuriser les environnements mobiles
Atelier
Objectifs :
Savoir implémenter les bonnes pratiques de sécurité d’une application mobile
Description :
Parcourir et personnaliser les composants de sécurité d’une application mobile iOS
Parcourir et personnaliser les composants de sécurité d’une application mobile Android