FOR_1705-0020
Sécurité des serveurs et applications web
Objectifs:
- Comprendre les vulnérabilités les plus fréquentes du web
- Analyser les risques encourus
- Dresser un diagnostic complet de sa sécurité
- Appliquer les contre-mesures effectives
- Maîtriser le processus de développement
Public:
- Pentesters web
- Consultants SSI
- RSSI
- Développeurs
- Architectes
- Administrateurs systèmes
Durée:
35 heuresMéthode pédagogique:
- Cours magistral avec travaux pratiques et échanges intéractifs
Programme:
La sécurité du web- Les motivations des attaquants
- Analyse de risques
- Le cloisonnement
- Le bastion
- Le filtrage
- La détection
- Le cloud et la conteneurisation
- Rappels sur HTTP
- Les méthodes HTTP
- Same Origin Policy
- Communication "cross-domain"
- Les entêtes de sécurité
- Cartographie et vérification des cibles
- Le scan de ports
- L'analyse de l'environnement
- La cartographie du site
- Le back office
- Open Source Intelligence
- Le scan de vulnérabilités
- Les méthodes d'authentification HTTP
- uni facteur
- multi facteur
- Délégation/fédération
- Le SSO
- Les attaques sur l'authentification
La gestion des sessions
- Les jetons de session
- Les cookies
- Forge de requêtes inter-sites (CSRF)
- Fixation de session
- Forge de jetons de session
- Le cloisonnement des sessions
- Les injections coté client
- L'injection XSS
- Les injections côté serveur
- Les injections de commandes
- La SSRF
- L'injection XXE
- L'injection SQL
- Quelques injections moins fréquentes (XPath, LDAP)
- Les injections via sérialisation/désérialisation
- Le téléversement de fichiers
- Les inclusions de fichiers locaux et distants
- HTTPS, SSL, TLS
- Dissection d'une suite cryptographique
- Les vulnérabilités
- Recommandations
- Audits et contrôles
- La PKI
- Le stockage sécurisé des données sensibles
- La blockchain
- Auditer la sécurité des données stockées
- Le fonctionnement des Webservices
- La sécurité des Webservices
- Tour d'horizon
- Attaques sur la mémoire (buffer overflow)
- Heartbleed
- Durcissement du socle
- Durcissement de l'applicatif web
- Secure SDLC
- Notions d'analyse de risques projet
- Développement sécurisé
- Les tests des fonctions de sécurité
- La sécurité du produit en production
- La gestion des vulnérabilités
- La gestion des patchs
- PRA/PCA
- La gestion des acteurs tierces
Sanction:
- A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification par HS2.
- Formation délivrée en partenariat avec HS2
Parcours de formation disponibles sur demande
Formation RGPD en ligne ouverte pour tous
Une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD » propose aux professionnels de découvrir ou mieux appréhender le RGPD. Il permet ainsi d’initier une mise en conformité de leur organisme et d’aider à la sensibilisation des opérationnels.
Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information
Le MOOC (Massive Open Online Course) SecNumAcademie – La nouvelle formation en ligne met la cybersécurité à la portée de tous
A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)
Formons les formateurs!
La formation des formateurs ! A découvrir de toute urgence l'interview de Gérard PELIKS le président de cyberedu.
Cyberedu met à votre disposition la mallette de formation des formateurs à télécharger immédiatement.
Programme G-echo en pdf
OF 73310795531