Hacking et sécurité des applications web

Rechercher une formation

Source : Carif Ile-de-France

Fiche originale

Partager sur :

Objectifs, programme, validation de la formation

Objectifs

Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre
une application vulnérable
Installer, configurer et utiliser des outils permettant d’analyser efficacement vos applications

Description, programmation

Jour 1 : contexte, architecture Web et vecteurs d’attaque
Introduction : le paysage de l’insécurité numérique

Les technologies Web, les risques
Mythes et réalités
Statistiques et évolutions
Retours d’expériences
Attaquants et défenseurs
Le profil des "pirates", leur arsenal
La défense (politique de sécurité, législation, réponse des éditeurs...)
Le Bug Bounty ; avantages et inconvénients
Architecture d’une application Web et vecteurs d’attaque
Architecture générale : client et serveur HTTP
Navigateurs Web, serveurs HTTP : fonctionnement, faiblesses
Le protocole HTTP
Format des requêtes standards et malicieuses
Génération de requêtes HTTP
Découverte passive d’information
Comprendre les étapes d’une attaque
Mise en pratique :
Recherche de sources ouvertes, Google dorks
Scan de ports / Fingerprinting
Introduction à l’utilisation d’un proxy Web
Rejeu et injection de requêtes HTTP modifiées

Jour 2 : détecter la vulnérabilité de vos applications
Vulnérabilités des applications Web

L’exposition des applications Web
Classement des risques majeurs selon l’OWASP et le CWE (MITRE)
Analyse des vulnérabilités et des conséquences de leur exploitation
Les principales attaques : "Cross Site Scripting” (XSS) / Les attaques en injection / Les attaques
sur les authentifications et sessions / CSRF...
Les vulnérabilités des frameworks et CMS
Outils de détection et d’exploitation
Les scanners de vulnérabilités Web
L’analyse statique de code
Les outils d’analyse manuelle
Exploitation SQL
Brute-force et fuzzing
Mises en pratiques :
Découverte de défauts de gestion de session et d’authentification sur une application
Exploitation de failles top 10 OWASP

Jour 3 : sécuriser vos applications Web
Principe du développement sécurisé

Les écueils
La sécurité dans le cycle de développement
Application à AGILE/SCRUM
Le budget
Le rôle du code côté client
Le contrôle des données envoyées par le client
Les règles de développement à respecter
Bonnes pratiques et contre-mesures
Authentification des utilisateurs et stockage des mots de passe
Chiffrement des flux
Les tests : Intégration de tests de sécurité dans le développement / Réalisation de tests
d’intrusion en interne / L’audit de sécurité
Mises en pratiques :
Exploitation de XXE
Découverte de vulnérabilités sur une application Web, analyse du code source vulnérable

Validation et sanction

Attestation d’acquis ou de compétences ;Attestation de suivi de présence

Type de formation

Perfectionnement, élargissement des compétences

Niveau de sortie sans niveau spécifique

Durée, rythme, financement

Durée 21 heures en centre
Durée indicative : 2 jours

Modalités de l'alternance FOAD : 21 h

Conventionnement Non

Conditions d'accès

Modalités de recrutement et d'admission Entretien

Niveau d'entrée sans niveau spécifique

Conditions spécifiques et prérequis - Expérience en programmation, idéalement en développement Web (des bases en HTML, JavaScript et SQL sont nécessaires pour les exercices). - Installations nécessaires sur votre machine : des droits d'administration suffisants pour installer les outils nécessaires à la réalisation des travaux pratiques - Ordinateur portable à apporter