Formation Sécurité des applications Web, synthèse


Formation Sécurité des applications Web, synthèse

Catalogue : Cybersécurité



Menaces, vulnérabilités des applications Web
• Risques majeurs des applications Web selon IBM X-Force et OWASP.
• Attaques de type Cross Site Scripting (XSS), injection et sur sessions.
• Propagation de faille avec un Web Worm.
• Attaques sur les configurations standard.
Protocoles de sécurité SSL, TLS
• SSL v2/v3 et TLS, PKI, certificats X509, autorité de certification.
• Impact de SSL sur la sécurité des firewalls UTM et IDS/IPS.
• Failles et attaques sur SSL/TLS. Techniques de capture et d'analyse des flux SSL.
• Attaque HTTPS stripping sur les liens sécurisés.
• Attaques sur les certificats X509, protocole OCSP.
• SSL et les performances des applications Web.
Attaques ciblées sur l'utilisateur et le navigateur
• Attaques sur les navigateurs Web, Rootkit.
• Sécurité des Smartphones pour le surf sur le Net.
• Codes malveillants et réseaux sociaux.
• Les techniques de Social Engineering.
Attaques ciblées sur l'authentification
• Authentification via HTTP, SSL par certificat X509 client.
• Mettre en œuvre une authentification forte, par logiciel.
• Solution de Web SSO non intrusive (sans agent).
• Principales attaques sur les authentifications.
Sécurité des Web Services
• Protocoles, standards de sécurité XML Encryption, XML Signature, WS-Security/Reliability.
• Attaques d'injection (XML injection...), brute force ou par rejeu.
• Firewalls applicatifs pour les Web Services.
• Principaux acteurs et produits sur le marché.
Sécuriser efficacement les applications Web
• Durcissement, hardening : sécuriser le système et le serveur HTTP.
• Virtualisation et sécurité des applications Web.
• Environnements .NET, PHP et Java. Les 5 phases du SDL.
• Techniques de fuzzing. Qualifier son application avec l'ASVS.
• WAF : quelle efficacité, quelles performances ?
Contrôler la sécurité des applications Web
• Pentest, audit de sécurité, scanners de vulnérabilités.
• Organiser une veille technologique efficace.
• Déclaration des incidents de sécurité.
Démonstration
Mise en œuvre d'un serveur Web avec certificat X509 EV : analyse des échanges protocolaires. Exploitation d'une faille de sécurité critique sur le frontal HTTP. Attaque de type HTTPS Stripping.

 

Fiche de la formation



 Cible :

DSI, RSSI, responsables sécurité, développeurs, concepteurs, chefs de projets intégrant des contraintes de sécurité, responsables ou administrateurs réseau, informatique, système.


 Prérequis :

Connaissances de base en informatique et en réseaux.


 Durée : 2 jours

 Type : Séminaire


 Contactez-nous