Surveillance des serveurs & applications Web (SECWEB)

Les applications web constituent le point le plus vulnérable au sein des entreprises. Il n’est pas rare que des failles de sécurité donnent lieu, par exemple, à des vols de millions de numéros de cartes de crédit, à des dommages financiers à d’importants impacts sur l’image, voire même à la compromission de milliers de machines d’internautes consultant le site web piraté. Cette formation présente les vulnérabilités classiques du Web à travers les tests d’intrusion et les moyens d'y remédier.
 
Vous allez apprendre

  • Les enjeux de la sécurité d'un site web
  • Les méthodes d'attaques sur le web et comment s'en protéger
  • Les bases de la cryptographie, quand et comment l'utiliser
  • Les méthodes d'authentification web
  • Les bonnes pratiques de développement sécurisé
  • Les techniques de protection des serveurs

 
Public visé

  • Développeurs web
  • Architectes d'applications web ou de solutions de sécurité web (pare-feu applicatif...)
  • Administrateurs systèmes
  • Pentesters débutants

 
Pré-requis
Avoir une expérience dans le développement web ou des connaissances en réseaux et systèmes sont un plus
 
Méthode pédagogique
Cours magistral illustré et approfondi par des travaux pratiques. Formation dispensée en français.
 
Matériel

  • Ordinateurs portables mis à disposition du stagiaire
  • Supports papier en français

 
Certification
A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECWEB Cyber Academy Deloitte.

Afficher les détails
 
Programme
Introduction
  • La sécurité informatique
  • Cadre normatif et législatif
  • Les différents types de menaces et leurs évolutions
  • Comprendre l’attaquant pour mieux se protéger
 
L’infrastructure web
  • Architecture matérielle
  • Architecture applicative
  • Découverte de l’environnement
Travaux pratiques : Collecte d’information, scan réseau, transfert de zone, protection
 
Les protocoles du web
  • Le protocole HTTP
    • Les méthodes de base
    • Les entêtes
    • Cookie et session
    • Les failles du HTTP
  • Les autres protocoles sur HTTP
Travaux pratiques : Proxy, exploitation d’un analyseur de réseau, configuration d’entêtes, attaques sur sessions
 
Sécurisation des données et des flux
  • Eléments de cryptographie
  • Chiffrement des flux de données
  • Signature électronique, certificats
  • Chiffrement des données
Travaux pratiques : récupération de mots de passes
 
L’authentification
  • Méthodes d'authentification http
    • Basic
    • Digest
    • Formulaire HTML
  • Méthode d’authentification forte
    • Token PKI
    • Certificat
    • autres méthodes
  • Modèles de délégation
  • Principes d'infrastructure Single Sign On
 
Les applications Web
  • Les attaques par injection
    • Côté serveur (Commandes, LDAP, SQL, …)
    • Côté client (XSS)
  • Les attaques par inclusion
    • Inclusions de fichiers locaux
    • Inclusions de fichiers distants
  • Durcissement des serveurs et des OS
    • Principes généraux sous Windows
    • Principes généraux sous Linux
  • Développement sécurisé
Travaux pratiques : configuration d’un serveur web, attaques courantes et contremesures