Sécuriser des applications WEB

Code : SEB

Résumé

Objectif

Mettre en œuvre et tester des applications Web dans votre entreprise. Configurer un serveur Web dans le but de chiffrer le trafic Web avec HTTPS.
Aujourd’hui, les attaques ciblent les vulnérabilités des applications Web plus que celles des systèmes d’exploitation et des réseaux. Ces vulnérabilités peuvent être exploitées pour obtenir des informations confidentielles et compromettre l’intégrité de l’entreprise. Par conséquent, les entreprises doivent mettre en place des mesures de sécurité strictes dans le processus de développement d’applications Web.
Cette formation vous apporte une expérience pratique approfondie de la sécurisation d’applications et serveurs hôtes Web.

Contenu

Mettre en œuvre et tester des applications Web dans votre entreprise.
Configurer un serveur Web dans le but de chiffrer le trafic Web avec HTTPS.
Identifier, diagnostiquer et corriger les 10 principales vulnérabilités définies par l’OWASP.
Protéger des applications Web 2.0 Ajax.
Sécuriser des services Web XML avec WS-Security.
Réaliser un audit de la sécurité des applications Web grâce à du code source et au scan d’applications.

Exercices

Dans ce cours, des exercices approfondis basés sur une étude de cas évolutive vous apportent une expérience pratique de la sécurisation d’applications. Les exercices comprennent :
Interception et modification d’un message SOAP signé
Détection de modifications non autorisées du système de fichiers
Mise en place de HTTPS sur un serveur Web
Éviter les failles XSS (cross site scripting)
Prévention contre l’injection de code avec la validation des saisies
Mise en place de restrictions d’accès aux URL.
Protection des services Web avec WS-Security.
Identification des vulnérabilités avec un scanner d’applications.

Public

À ceux qui souhaitent mettre en œuvre, tester et déployer des applications Web sécurisées.

Pré-requis

Une expérience du développement d’applications Web et des connaissances de base de l’administration de serveurs Web sont supposées acquises. Aucune connaissance préalable de la sécurité n’est requise.

Durée

4 jours

Programme détaillé

Programme de la formation

Démarrage

  • Définir les menaces contre vos atouts Web
  • Recueil de données sur la légalité et le droit à la vie privée
  • Explorer les vulnérabilités courantes
  • Bases de la sécurité
  • Modélisation de la sécurité Web
  • Le triangle CIA (Confidentialité, Intégrité et Disponibilité)
  • Authentifications et autorisations

Chiffrement et hachage

  • Différentiation cryptographie à clé publique et à clé privée
  • Vérification de l’intégrité des messages avec les empreintes, signatures et certificats numériques

Configuration de la sécurité pour des services HTTP

  • Gestion des mises à jour de logiciels
  • Restriction des méthodes HTTP

Sécurisation des communications avec SSL/TLS

  • Obtention et installation de certificats de serveurs
  • Mise en place de HTTPS sur le serveur Web
  • Protection de l’échange des identités

Détection de modifications non autorisées du contenu

  • Configuration correcte des permissions
  • Scanner pour détecter les changements du système de fichiers

Sécurité des applications Web

  • Utilisation des ressources de l’OWASP
  • Les dix principales vulnérabilités de l’OWASP (Open Web Application Security Project)
  • Identification d’anomalies critiques dans la sécurité
  • Correction des failles identifiées

Sécurisation des interactions entre les bases de données et les applications

  • Déceler et empêcher les injections SQL
  • Protection des références d’objets directs
  • Limites du chiffrement du contenu de bases de données

Gestion de l’authentification de sessions

  • Protection contre le détournement de sessions
  • Mise en place du contrôle d’accès aux URL
  • Blocage de la falsification de requêtes inter-sites

Contrôle des fuites d’informations

  • Messages d’erreurs édulcorés sur l’écran de l’utilisateur
  • Gestion des erreurs de requêtes et sur les pages

Validation des saisies

  • Établissement de limites de confiance
  • Déceler et supprimer les menaces de XSS (cross-site scripting)
  • Exposer les dangers de la validation côté client
  • Prévention contre le vol électronique

Développement de la sécurité Ajax

  • Fonctionnalités Ajax
  • Identification des éléments principaux d’Ajax
  • Échange d’informations de façon asynchrone

Évaluation des risques et des menaces

  • Gestion des interactions imprévisibles
  • Identification de vulnérabilités JSON

Sécurisation des services Web XML

  • Diagnostic des vulnérabilités XML
  • Repérage des balises non terminées et des dépassements de champs
  • Révéler les faiblesses de services Web
  • Protection de l’échange de messages SOAP
  • Validation des saisies avec un schéma XML
  • Chiffrement des échanges avec HTTPS
  • Mise en œuvre d’un cadre de sécurité des services Web
  • Authentification de l’accès aux services Web

Détection des défauts dans les applications

  • Scans d’applications à distance
  • Stratégies de scans et de tests
  • Test d’applications Web avec Netcat, Cryptcat et Wget
  • Interception du trafic avec WebScarab de l’OWASP

Bonnes pratiques pour la sécurité Web Adoption des normes

  • Réduction des risques en mettant en œuvre des architectures éprouvées
  • Gestion des données personnelles et financières
  • Recommandations pour la journalisation

Gestion de la sécurité réseau

  • Modélisation des menaces pour diminuer les risques
  • Intégration d’applications à votre architecture réseau

Au sujet du formateur

bertrand

L’équipe LTM

Formation & développement mobile iOS/Android/Web

Contacter l’équipe