Sécurité des serveurs et des applications Web

SECUWEB Version 2021

L'infrastructure Web expose directement votre société aux menaces externe. Renforcez vos défenses en sécurisant efficacement tous les vecteurs exploités par les attaquants !

Contenu du cours

La sécurité du web

  • Les motivations des attaquants

  • Analyse de risques

 

Architecture sécurisée

  • Le cloisonnement

  • Le bastion

  • Le filtrage

  • La détection

  • Le cloud et la conteneurisation

 

Les mécanismes du Web

  • Rappels sur HTTP

  • Les méthodes HTTP

 

La sécurité du navigateur

  • Same Origin Policy

  • Communication "cross-domain"

  • Les entêtes de sécurité

 

Reconnaissance et fuite d'informations

  • Cartographie et vérification des cibles

  • Le scan de ports

  • L'analyse de l'environnement

  • La cartographie du site

  • Le back office

  • Open Source Intelligence

  • Le scan de vulnérabilités

 

Les processus d'authentification

  • Les méthodes d'authentification HTTP

  • uni facteur

  • multi facteur

  • Délégation/fédération

  • Le SSO

  • Les attaques sur l'authentification

 

La gestion des sessions

  • Les jetons de session

  • Les cookies

  • Forge de requêtes inter-sites (CSRF)

  • Fixation de session

  • Forge de jetons de session

  • Le cloisonnement des sessions

 

Les injections

  • Les injections coté client

  • L'injection XSS

  • Les injections côté serveur

  • Les injections de commandes

  • La SSRF

  • L'injection XXE

  • L'injection SQL

  • Quelques injections moins fréquente (XPath, LDAP)

  • Les injections via sérialisation/désérialisation

 

Les injections de fichiers

  • Le téléversement de fichiers

  • Les inclusions de fichiers locaux et distants

 

La sécurité des communications

  • HTTPS, SSL, TLS

  • Dissection d'une suite cryptographique

  • Les vulnérabilités

  • Recommandations

  • Audits et contrôles

  • La PKI

 

La sécurité des données stockées

  • Le stockage sécurisé des données sensibles

  • La blockchain

  • Auditer la sécurité des données stockées

 

Les Webservices

  • Le fonctionnement des Webservices

  • La sécurité des Webservices

 

Les vulnérabilités plus complexes

  • Tour d'horizon

  • Attaques sur la mémoire (buffer overflow)

  • Heartbleed

 

La sécurité du serveur

  • Durcissement du socle

  • Durcissement de l'applicatif web

 

Sécurité et processus de développement

  • Secure SDLC

  • Notions d'analyse de risques projet

  • Développement sécurisé

  • Les tests des fonctions de sécurité

  • La sécurité du produit en production

  • La gestion des vulnérabilités

  • La gestion des patchs

 

Les autres mesures de sécurité

  • PRA/PCA

  • La gestion des acteurs tierces

Les concepts essentiels développés dans la formation sont illustrés au travers de mises en pratique sur PC permettant d'acquérir des compétences concrètes applicables en entreprise.

Certification

A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après midi de formation. La réussite à l'examen donne droit à la certification SECUWEB.​

*Formation distanciel possible :

  • de votre entreprise

  • de chez vous

  • de nos locaux à Sophia Antipolis (équipement Cisco Webex Board)

Nos formations sont accessibles aux personnes en situation de handicap.

Un questionnaire envoyé en amont de la formation invite les participants à nous contacter s’ils ont besoins d’aménagements spécifiques en lien avec leur situation de handicap. Nous nous employons à rechercher, avec les personnes concernées, les moyens de compensation qui leur seront adaptés.

Pour en valider l'accès merci de nous contacter contact@formation-IT.org

Durée 

5 jours soit 35 heures

Prix Public 

3.600 € HT (examen de certification inclus)

 

Dates

à Paris (distanciel* possible sur mesure. Nous contacter)​ 

  • 31 mai - 4 juin 2021

  • 18 - 22 octobre 2021

Public concerné

  • Pentesters web

  • Consultants SSI

  • RSSI

  • Développeurs

  • Architectes

  • Administrateurs systèmes

Objectifs pédagogiques

  • Comprendre les vulnérabilités les plus fréquentes du web

  • Analyser les risques encourus

  • Dresser un diagnostic complet de sa sécurité

  • Appliquer les contre-mesures effectives

  • Maîtriser le processus de développement

Pré requis 

  • Aucun prérequis

  • Des notions d'utilisation d'une distribution Linux est un plus

Méthode Pédagogique

Cours magistral avec travaux pratiques et échanges interactifs

Supports 

  • Support de cours au format papier en français

  • Cahier d'exercices et corrections des exercices

  • Ordinateur portable mis à disposition du stagiaire

  • Certificat attestant de la participation à la formation

Modalité d'évaluation de la formation

Fiche d'évaluation remise aux stagiaires à l'issue de la formation afin de recueillir leurs impressions et identifier d'éventuels axes d'amélioration

Profil formateur 

 Instructeur certifié SECUWEB

Délai d’accès 

Se référer aux dates figurant au planning

Sanction de la formation 

Une attestation mentionnant les objectifs, la nature et la durée de l’action et les résultats de l’évaluation des acquis de la formation sera remise au(x) stagiaire(s) à l’issue de la formation 

L'année 2020 en chiffres

9,6/10

Note de

Satisfaction Globale

38

Thématiques

de formation

3 156

Heures de

formations dispensées

131

Stagiaires

formés

Dig-IT est un organisme de formation certifié Datadock

SARL DIG-IT

Simplifiez vous l'IT

 

Tél : 04 92 96 96 90

Mail : contact@formation-IT.org

Centre de Formation enregistré

sous la DA n° 93.06.07876.06

SIRET 822 060 372 00015 - APE 7022Z 

  • Twitter Classic
  • LinkedIn Social Icon
  • Facebook Social Icon
  • WhatsApp Business