Passer commande via notre portail client

Partager cet article ...Print this pageEmail this to someoneTweet about this on TwitterShare on FacebookShare on Google+Share on LinkedInPin on PinterestShare on TumblrDigg this
Sécurité des applications Web, perfectionnement
SEI / LI-SEC-060

OBJECTIFS PEDAGOGIQUES

Ce stage de perfectionnement vous permettra d’enrichir vos compétences pour vous protéger et mieux réagir face aux nombreuses menaces du Web. Vous verrez comment auditer la sécurité de vos applications, les tester et mettre en place les contre-mesures les plus adaptées

PUBLIC

PRE-REQUIS

Administrateurs réseaux, systèmes, Webmaster. Bonnes connaissances systèmes et réseaux, connaissances de base en développement ou connaissances équivalentes à celles apportées par le cours ORSYS “Sécurité des applications Web” SEC-025 (SER).

CONTENU

Rappel sur les principales failles de sécurité- L’attaque Cross-Site Scripting (XSS).- L’injection de commandes et injection SQL.- Les attaques par Deni de Service (DoS).- Le Deni de Service Distribué (DDoS).- Le Buffer overflow (Débordement de pile).- Le projet OWASP (Open Web Application Security Project).Travaux pratiquesMise en place d’un serveur Web présentant des vulnérabilités pour en observer le comportement. Démonstration de l’exploitation d’un buffer overflow. 

La sécurité des applications

- Concept base et importance.

- Les comptes créés pour effectuer les tests.

- Les dossiers fictifs, peut-on s’en passer?

- Les séquences de tests et de mise au point sont-elles encore présentes en production?

 

Auditer et sécuriser une application web

- Démarche et mise en place d’un audit. Bien gérer l’interaction avec la base de données.

- Mettre en place une authentification sécurisée. Exploitation d’une faille d’authentification.

- Gestion des erreurs, des exceptions et des logs.

- Savoir effectuer l’analyse et la corrélation des informations de log.

- Les bonnes pratiques pour avoir des formulaires sécurisés. Exemple d’exploitation d’un formulaire mal développé.

Travaux pratiques

Mise en oeuvre d’une infrastructure trois tiers, client, serveur web et bases de données. Simulation d’une tentative d’attaque. Analyse et solution.

 

Le chiffrement

- Rappels sur les principes de base.

- Implémenter le chiffrement dans une application. Les exploitations possibles.

- Tester si une application est bien protégée par le chiffrement.

- Les applications de chiffrement du marché.

Travaux pratiques

Mise en oeuvre d’une autorité de certification privée avec intégration de certificats dans une application.

 

Tester les applications

- Comment tester avant la mise en production.

- Le fingerprinting: l’identification des caractéristiques du serveur (moteur web, framework, applications).

- Utiliser un web spider pour détecter les liens brisés, les pages avec ou sans authentification et chiffrement.

- Comment mesurer la disponibilité d’une application avec une simulation.

Travaux pratiques

Exemple de tentative d’attaques et fingerprinting. Comment écrire un web spider pour détecter les liens brisés. Vérifier l’authentification sur les pages.

SESSIONS PROGRAMMEES

Accès au calendrier

VALIDATION

Evaluation de fin de stage

PEDAGOGIE

Alternance d’exposés et de travaux pratiques

INTERVENANTS

Spécialiste Sécurité avancée Web

MODALITES PRATIQUES

Durée : 3 jours soit 21 heures avec 7 heures par jour

Prix stagiaire : 1 779,00 € TTC

Horaires : 9h – 17h30

Durée:

Laisser un commentaire