Sécurité des serveurs et applications web

FOR_1705-0020

Sécurité des serveurs et applications web

Objectifs:

  • Les enjeux de la sécurité d'un site web
  • Les méthodes d'attaques sur le web et comment s'en protéger
  • Les bases de la cryptographie, quand et comment l'utiliser
  • Les méthodes d'authentification web
  • Les bonnes pratiques de développement sécurisé
  • Les techniques de protections des serveurs

Public:

  • Développeurs web
  • Architecte d'applications web ou de solutions de sécurité web (pare-feu applicatif...)
  • Administrateurs systèmes
  • Pentesters débutants

Durée:

35 heures

Programme:

Bases de la sécurité informatique

  • Cadre des menaces

  • Acteurs

  • Évolutions

  • Vocabulaire et concepts de base de la SSI

  • Législation et déontologie

  • Bases du web

  • Infrastructure web

  • Rappels HTTP

  • Présentations des services web

  • Same Origin Policy

  • Communication "cross-domain"

Découverte/fuite d'informations

  • Analyse de l'environnement

  • Framework, librairies

  • Arborescence du site

  • Transfert de zone (DNS)

  • Scan de ports

  • Scan de vulnérabilités

  • Travaux pratiques

Les protocoles du web

  • Méthodes HTTP

  • SOAP

  • XMLRPC

  • Travaux pratiques

Le processus d'authentification

  • Principe de AAA

  • Méthodes d'authentification HTTP

  • Modèles de délégation

  • Principes d'infrastructure Single Sign On

Gestion des sessions

  • Les cookies

  • Forge de requêtes intersites (CSRF)

  • Fixation de session

  • Forge de cookies de session

  • Travaux pratiques

Les injections

  • Injection coté serveur

  • Commandes

  • LDAP

  • SQL

  • XXE

  • Injection coté client

  • XSS

  • Travaux pratiques

Les inclusions de fichiers

  • Télé-versement de fichiers

  • Inclusion de fichiers locaux et distants (LFI, RFI)

  • Travaux pratiques

Éléments de cryptographie

  • Les bases : mécanismes, vocabulaire

  • Mécanismes pour chiffrement et authentification

  • Mécanismes de signature électronique

  • Certificats x509

Chiffrement des flux de données

  • HTTPS, SSL, TLS ...

  • Choix des suites cryptographiques

  • Recommandations

  • Travaux pratiques

Chiffrement des données stockées

  • Stockage des mots de passe

  • Stockage des données sensibles

  • Travaux pratiques

Sécurité du navigateur

  • Entêtes de sécurité (CSP, HSTS, X-XSS...)

Sécurité du serveur

  • Durcissement de l'OS

  • Standardisation des environnements

  • Gestion des privilèges

  • Sécurité du système de fichiers

  • Gestion des journaux et traces

  • Analyse des flux

Sécurité des applications

  • Séparation du code et des paramètres

  • Connaissance et surveillance des librairies utilisées

Audit des applications

  • Revues de code

  • Utilisation du fuzzing

  • Usage du test d’intrusion (Pentest)

Sécurité et processus de développement

  • Notions d'analyse de risque projet

  • Analyse des menaces

  • Formalisation

  • Intégration continue et tests des fonctions de sécurité

  • DevOps problématiques et enjeux

  • Versioning

  • Gestion des vulnérabilités

  • Gestion des patchs

Examen

Logique applicative

  • Contournement de flux applicatif

  • Filtrage métier

  • Travaux pratiques


Parcours de formation disponibles sur demande

Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information

SecNumacademie - Formation à la Cybersécurité...

par ANSSI_FR

A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)

Le MOOC (Massive Open Online Course) SecNumAcadémie – La nouvelle formation en ligne met la cybersécurité à la portée de tous


Pour aller plus loin

Ressources