Hacking et sécurité des applications web
Objectifs, programme, validation de la formation
Objectifs
- Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre
une application vulnérable - Installer, configurer et utiliser des outils permettant d’analyser efficacement vos applications
Description, programmation
Jour 1 : contexte, architecture Web et vecteurs d’attaque
Introduction : le paysage de l’insécurité numérique
- Les technologies Web, les risques
- Mythes et réalités
- Statistiques et évolutions
- Retours d’expériences
Attaquants et défenseurs - Le profil des "pirates", leur arsenal
- La défense (politique de sécurité, législation, réponse des éditeurs...)
- Le Bug Bounty ; avantages et inconvénients
Architecture d’une application Web et vecteurs d’attaque - Architecture générale : client et serveur HTTP
- Navigateurs Web, serveurs HTTP : fonctionnement, faiblesses
Le protocole HTTP - Format des requêtes standards et malicieuses
- Génération de requêtes HTTP
- Découverte passive d’information
- Comprendre les étapes d’une attaque
Mise en pratique : - Recherche de sources ouvertes, Google dorks
- Scan de ports / Fingerprinting
- Introduction à l’utilisation d’un proxy Web
- Rejeu et injection de requêtes HTTP modifiées
Jour 2 : détecter la vulnérabilité de vos applications
Vulnérabilités des applications Web
- L’exposition des applications Web
- Classement des risques majeurs selon l’OWASP et le CWE (MITRE)
- Analyse des vulnérabilités et des conséquences de leur exploitation
- Les principales attaques : "Cross Site Scripting” (XSS) / Les attaques en injection / Les attaques
sur les authentifications et sessions / CSRF... - Les vulnérabilités des frameworks et CMS
Outils de détection et d’exploitation - Les scanners de vulnérabilités Web
- L’analyse statique de code
- Les outils d’analyse manuelle
- Exploitation SQL
- Brute-force et fuzzing
Mises en pratiques : - Découverte de défauts de gestion de session et d’authentification sur une application
- Exploitation de failles top 10 OWASP
Jour 3 : sécuriser vos applications Web
Principe du développement sécurisé
- Les écueils
- La sécurité dans le cycle de développement
- Application à AGILE/SCRUM
- Le budget
- Le rôle du code côté client
- Le contrôle des données envoyées par le client
- Les règles de développement à respecter
Bonnes pratiques et contre-mesures - Authentification des utilisateurs et stockage des mots de passe
- Chiffrement des flux
- Les tests : Intégration de tests de sécurité dans le développement / Réalisation de tests
d’intrusion en interne / L’audit de sécurité
Mises en pratiques : - Exploitation de XXE
- Découverte de vulnérabilités sur une application Web, analyse du code source vulnérable
Validation et sanction
Attestation d’acquis ou de compétences ;Attestation de suivi de présence
Type de formation
Perfectionnement, élargissement des compétences
Niveau de sortie sans niveau spécifique
Durée, rythme, financement
Durée
21 heures en centre
Durée indicative : 2 jours
Modalités de l'alternance Cours du jour : 21 h
Conventionnement Non
Conditions d'accès
Modalités de recrutement et d'admission Entretien
Niveau d'entrée sans niveau spécifique
Conditions spécifiques et prérequis - Expérience en programmation, idéalement en développement Web (des bases en HTML, JavaScript et SQL sont nécessaires pour les exercices). - Installations nécessaires sur votre machine : des droits d'administration suffisants pour installer les outils nécessaires à la réalisation des travaux pratiques - Ordinateur portable à apporter
Inscription
Contact renseignement Mme Nathalie ROUESNEL
Téléphone 01 84 17 38 96
Périodes prévisibles de déroulement des sessions
Session débutant le : 21/09/2021
Adresse d'inscription
17 Rue Galilée 75016 Paris 16e