Ces dernières années, les applications Web sont devenues les pièces maîtresses du système d’information. Elles sont populaires et incontournables, aussi bien auprès des utilisateurs que de l’organisation qui les déploie.
C’est pour cela que, même si le paysage des menaces informatiques évolue au grès des usages et des évolutions technologiques, les applications Web restent invariablement l’un si ce n’est le plus important des vecteurs d’attaque dirigées contre un système d’information.
Pour votre entreprise, les conséquences d’un piratage se traduisent directement en termes de vol d’information, perte d’actifs, interruption d’activité, perte de clients ou de crédibilité. Les
coûts associés explosent.
Pour cette formation, mettez au placard vos solutions de sécurisation (antivirus, firewall,...), nous vous montrerons que la qualité de votre code reste la meilleure parade.
Entrez dans la peau d’un pirate et apprenez à pirater vos applications Web. Vous saurez alors les sécuriser et en tester la robustesse.

Les nombreux exercices pratiques qui ponctueront la formation vous permettront de mettre en évidence des failles de sécurité et assurer l'application de correctifs. Au terme des 3 jours de formation, vous serez en mesure de renforcer et tester la sécurité de vos applications.

Les objectifs

• Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre une application vulnérable.
• Installer, configurer et utiliser des outils permettant d’analyser vos applications

Pré-requis

• Expérience en programmation, idéalement en développement web
• Ordinateur portable avec VirtualBox installé

Le programme de la formation Sécurité des applications web

Jour 1

Introduction

• Les technologies web, de nouveaux risques
• Mythes et réalités
• Statistiques et évolutions
• Retour d'expérience sur les audits de sécurité

Architecture d'une application Web et vecteurs d’attaque

• Architecture générale et évolutions
• Avantages et faiblesses des navigateurs Web
• Le serveur HTTP, fonctionnement, faiblesses
• Les différents serveurs

Le protocole HTTP

• Format des requêtes standards et malicieuses
• Mécanismes d'authentification HTTP
• Génération de requêtes HTTP
• Découverte passive d'information

Travaux pratiques

• Scan de ports / Fingerprint
• Analyse des trames réseau.
• Rejeu et injection de requêtes HTTP modifiées.

Jour 2

Vulnérabilités des applications Web

• Les applications Web sont très exposées et sujettes aux attaques, pourquoi ?
• Classement des risques majeurs selon l'OWASP, analyse
• Les différentes attaques : Les attaques "Cross Site Scripting” (XSS) / Les attaques en injection / Les attaques sur les sessions / Exploitation de vulnérabilités sur le serveur web / Attaques sur les configurations standard
• Les vulnérabilités des framework et CMS

Outils de détection et d’exploitation

• Les différents scanners de vulnérabilités Web
• Les outils d’analyse statique de code
• Les outils d’analyse manuelle
• Exploitation SQL
• Brute force
• Fuzzing

Travaux pratiques
Exploitation de failles sur une VM vulnérable.

Jour 3

Principe du développement sécurisé

• Le budget
• La sécurité dans un cycle de développement
• Le rôle du code côté client
• Le contrôle des données envoyées par le client
• Les règles de développement à respecter.

Bonnes pratiques et contre-mesures

• Authentification des utilisateurs et stockage des mots de passe : Comment stocker des mots de passe en BD ? / Quels algorithmes utiliser ? / Gérer la connexion
• Chiffrement des flux avec SSL/TLS : Introduction à la cryptographie utilisée dans SSL/TLS. / Quelle autorité de certification choisir ?
• Les tests : Intégration de tests de sécurité dans le développement / Réalisation de tests d’intrusion en interne / L'audit de sécurité

Travaux pratiques

• Cassage de mots de passe
• Durcissement des mots de passe

Le(s) formateur(s)