FORMATION SÉCURITÉ DEVELOPPEMENT WEB
FORMATION SÉCURITÉ DEVELOPPEMENT WEB
- Session : En cours
- Objectifs
Cette formation dresse un panorama concret des menaces du Web. Elle détaille aussi bien les types d’attaques que peut subir une application web que les failles les plus courantes des configurations serveurs ou des applications déployées. Le cours se concentre également sur les technologies et méthodologies permettant de se protéger, ainsi que sur les outils permettant de contrôler la sécurité des applications.
La formation s’attache également à vous communiquer les « bonnes pratiques » liées au développement sécurisé d’applications.
- Public
Cette formation s’adresse à toute personne désireuse de protéger ses applications web d’attaques potentielles. Elle concerne plus particulièrement les personnes directement impliquées dans le développement, la maintenance ou l’audit d’applications Web, tels que les développeurs d’applications web, le personnel chargé de l’Assurance Qualité sur les logiciels, les testeurs et les auditeurs de la sécurité des applications web, ainsi que les administrateurs de la sécurité.
GP pour les entreprises
D’un ou de plusieurs membres de votre équipe, bénéficiez d’un devis personnalisé pour améliorer les compétences de vos collaborateurs.
Programme détaillé de la formation
- Présentation des différents efforts de standardisation de la terminologie liée à la sécurité
- Typologie des menaces selon le WASC, le top 10 des menaces selon OWASP
- Failles applicatives : injection, protection d’URL, faille de référence, stockage non sécurisé
- Attaques côté client : Cross Site Scripting (XSS), gestion de session et authentification, attaque CSRF, Phishing…
- Failles de configuration : attaques sur les configurations standard
- Attaques de type DDOS
- Les dangers spécifiques du Web 2.0
- Firewalls, panorama des outils, techniques de base réseaux
- Filtres des requêtes HTTP
- Empreinte de message, les algorithmes SHA-x et MD5
- Signature numérique, Clé publique/ clé privée, Coffre à clé et coffre de confiance, Autorités de certification
- Chiffrement de données, les algorithmes AES et RSA
- Protocoles SSL v2/v3 et TLS, PKI, certificats X509,
- Techniques d’authentification HTTP, authentification par certificat
- Protections basiques : Re-post des données, Time-out et déconnexion, Masquer les URL, Validation des données
- Usurpation d’identité : Cookies et certificats numériques, Session ID et jeton de transaction, Détournement
- Se protéger des attaques client : XSS ou Cross Site Scripting, Utilisation des références directes, CSRF ou Cross Site Request Forgery, Sécurité d’accès au SGBD, SQL Injection, Utilisation du JavaScript,
- Échappement des tags HTML
- Protections contre les attaques de force brute, Liste de contrôle d’accès
- Test d’intrusion, audit de sécurité, scanners de vulnérabilités
- Organiser une veille technologique efficace
- Déclaration des incidents de sécurité
Démonstration
Mise en œuvre d’un serveur Web avec certificat X509 EV : analyse des échanges protocolaires
Exploitation d’une faille de sécurité critique sur le frontal HTTP
Attaque de type HTTPS Stripping
- Composants d’un système d’exploitation mobile
- Risques auxquels sont exposés les appareils mobiles
- Les principales menaces pesant sur les appareils mobiles
- Étudier les outils de piratage des appareils mobiles
- Méthode pour sécuriser les environnements mobiles.
Avis et Commentaires
FORMATION SÉCURITÉ DEVELOPPEMENT WEB
- Session : En cours
GP pour les entreprises
Si vous êtes une entreprise ou un particulier, vous pouvez demander un devis en cliquant sur le bouton ci-dessous.
Formations suggérées
Liens utiles
Nous rejoindre
Inscrivez vous pour recevoir nos prochaines formations planifiées.
© 2014-2022 Generale Performance Tous les droits réservés