Durant cette formation, vous apprendrez à tester puis à renforcer la sécurité de vos applications Web.

Cette formation Hacking et sécurité des applications Web s’adresse à des développeurs et développeuses Web (frontend, backend, ou full-stack) souhaitant monter en compétence sur les thématiques liées à la sécurité applicative, en comprenant comment les attaquants compromettent les applications Web et comment se prémunir des attaques visant vos applications.

Ces dernières années, les applications Web sont devenues les pièces maîtresses du système d’information. Elles sont populaires et incontournables, aussi bien auprès des utilisateurs que de l’organisation qui les déploie.

C’est pour cela que, même si le paysage des menaces informatiques évolue au grès des usages et des évolutions technologiques, les applications Web restent invariablement l’un, si ce n’est le plus important des vecteurs d’attaques dirigées contre un système d’information.

Pour votre entreprise, les conséquences d’un piratage se traduisent directement en termes de vol d’information, perte d’actifs, interruption d’activité, perte de clients ou de crédibilité. Les coûts associés explosent alors !

Durant cette formation Hacking et sécurité des applications Web, mettez au placard vos solutions de sécurisation (antivirus, firewall,...) ! Nous vous montrerons que la qualité de votre code reste la meilleure parade.

Entrez dans la peau d’un pirate et apprenez à pirater vos applications Web. Vous saurez alors les sécuriser et en tester la robustesse.

Les nombreux exercices pratiques, qui ponctueront la formation Hacking et sécurité des applications web, vous permettront de mettre en évidence des failles de sécurité et assurer l'application de correctifs.

Envie d'aller plus loin ?

Apprenez à renforcer la sécurité de vos applications Web en utilisant les mécanismes prévus par les navigateurs lors de la formation Sécurité Web côté clients !
Puis, pour améliorer vos connaissances des processus à l'œuvre dans la détection et l'analyse d'attaques informatique, jetez un oeil à la formation Réponse à un incident !

Covid-19: Nous restons ouverts. Cette formation est disponible à distance.
🇺🇸 This training is also available in English

Les objectifs

• Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre une application vulnérable
• Installer, configurer et utiliser des outils permettant d’analyser efficacement vos applications

Pré-requis

• Expérience en programmation, idéalement en développement Web (des bases en HTML, JavaScript et SQL sont nécessaires pour les exercices).
• Installations nécessaires sur votre machine : des droits d'administration suffisants pour installer les outils (Burp Suite Community Edition) nécessaires à la réalisation des travaux pratiques
• Ordinateur portable à apporter

Le programme de la formation Hacking et sécurité des applications web

Jour 1 : introduction

Le paysage de l'insécurité Web

• Le top 10 2021 des vulnérabilités selon OWASP
• CWE et CVEs
• Profils des attaquants : attaques externes et internes
• Les étapes d'une attaque
• Arsenal des attaquants
  • Google dorks
  • nmap et Shodan
  • Developer Tools du navigateur
  • Proxy d'interception (Burp Suite)
  • Outils personnalisés

La place de la sécurité dans le cycle de développement

• Malentendus récurrents
• Biais envers la production
• Gouvernance, politique de sécurité
• L'affaire de tous et toutes
• Législation
  • politique des cookies
  • RGPD

Activités internes liées à sécurité

• (In)compatibilité avec les approches dites "Agile" ?
• DevSecOps
• Inventaire et shadow IT
• Tests : unitaires, intégration, bout en bout
• Revues de code
• Analyse statique
• Analyse dynamique
• Outils de sécurité compatible avec le CI/CD
• Utilisation d'un Web Application Firewall (WAF)

La sécurité vue de l'extérieur

• Audits de sécurité
  • Tests d'intrusion, évaluations de vulnérabilité, audits de code
  • Les différentes approches : boîte noire, boîte grise, boîte blanche
  • Comment bien choisir ses consultants en sécurité
• Politique de divulgation responsable
  • security.txt
  • disclose.io
• Programme de prime au bug (bug bounty)
  • Avantages et inconvénients
  • Une approche complémentaire
  • Budget
  • Comment attirer les chasseurs de bugs
  • Platformes tierces

Rappels de cryptographie

• La crypto en deux mots
• Chiffrement
• Hachage
• Signature numérique
• Algorithmes modernes et caduques

Les protocoles importants de l'Internet

• Adresses IP et DNS
• Subdomain takeover : mécanismes et risques
• Rappels sur le protocole HTTP
• HTTPS
  • TLS
  • Autorités de certification et certificats
  • Certificate Transparency
  • HTTP Strict Transport Security
• HTML/CSS/JavaScript

Causes de fuite d'informations

• Identifiants numériques séquentiels
• Messages d'erreurs verbeux
• Capture de données sensibles dans les logs
• Secrets stockés côté client
• Dépôts publics de développeurs
• Historique Git

Mises en pratique :
- Reconnaissance à l'aide de Google dorks et Shodan
- Introduction à l'utilisation d'un proxy Web : Burp Suite
- Rejeu et injection de requêtes HTTP modifiées

Jour 2 : failles courantes et défenses

Authentification et failles associées

• Méthodes d'authentification
• Énumération d'utilisateurs
• Single Sign On (SSO) : OAuth 2, OpenID Connect, SAML
• Contournement du rate limiting
• Questions de sécurité
• Authentification à facteurs multiples

Mots de passe : bonnes et mauvaises pratiques

• Politique de robustesse
• Mots de passe ayant fuité, haveibeenpwned
• Gestionnaire de mots de passe
• Salage et hachage
• Stockage
• Réinitilisation de mot de passe

Gestion des sessions et failles associées

• Cookies
  • Attributs de sécurité : Domain, HttpOnly, Secure, SameSite
  • Sécurisation
• Fixation de sessions
• Vol/détournement de sessions
• Cross-site request forgery
• Clickjacking
• Cross-site script inclusion
• Contre-mesures
• JSON Web Tokens

Autorisation / contrôle d'accès

• Distinction entre authentification et autorisation
• Rôles and permissions
• Insecure direct object reference (IDOR)
• Missing function-level access control

Contrôle des entrées utilisateur

• Côté client, côté serveur, ou les deux ?
• Cross-site scripting (XSS) : la plaie du Web
• Les différentes formes de XSS
  • Réfléchi
  • Persistant
  • Aveugle
  • DOM
• Défenses contre le XSS
  • Validation / nettoyage des entrées utilisateurs
  • Encodage contextuel
  • Content Security Policy
• Autres formes d'injection
  • Template injection
  • Command injection
  • SMTP injection
• Déni de service dû à l'utilisation d'expression régulières inefficaces (ReDoS)

URLs et failles associées

• Anatomie d'une URL
• Des disparités inquiétantes entre parseurs
• Open redirects
• Server-side request forgery
• Bonnes pratiques

Mises en pratique :
- Attaque en équipe d'une application volontairement vulnérable : le Juice Shop d'OWASP

Jour 3 : failles plus avancées et défenses

Cross-Origin Resource Sharing (CORS)

• Les concepts d'origine Web et de site
• Same-origin policy
• Les alternatives à CORS
• Cross-Origin Resource Sharing (CORS)
• Bonnes et mauvaises configurations de CORS et risques associés
• Private Network Access

Bases de données

• Principe du moindre privilège
• Injection SQL
• L'outil sqlmap
• Injection NoSQL
• Transactions et situations de compétitions

Décodage et failles associées

• Mass assignment
• XML : attaques de type XXE et billion laughs
• Attaques de désérialisation (Java, Python, PHP)

Fichiers

• Chargement (upload)
• Path traversal
• Local-File Inclusion
• Remote-File Inclusion

Risques liés aux dépendances

• Frameworks et bibliothèques
• Téléchargement sécurisé des dépendances
• Politique de mise à jour
• Software Component Analysis (SCA)
• Cas d'étude : log4shell
• Attaques de la supply chain et dependency confusion
• Vérification d'intégrité des dépendances
  • Subresource Integrity
  • Gestionnaire de modules
• Content-Management Systems (CMS)

Mises en pratique :
- détection d'une injection SQL à l'aide de sqlmap
- Analyse et sécurisation de configurations CORS
- Attaque en équipe d'une application volontairement vulnérable : le Juice Shop d'OWASP

Discussion ouverte

Bonus

En fonction des profils des stagiaires, et du temps restants, les notions suivantes pourront être abordées.

Sécurité cloud

• Principe du moindre privilège
• Abus de confiance
• Denial of Wallet
• Le Cloud Act
• Chiffrement de bout en bout

Proxies et chaînes de serveurs

• Problème d'interopérabilité JSON
• Spoofing et filtrage des entêtes HTTP
• Host-header poisoning
• Web cache poisoning
• Header smuggling
• Request smuggling

Le(s) formateur(s)

A propos de Human Coders

Human Coders c'est un centre de formation pour développeurs avec :

• une certification Qualiopi, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
• de nombreux clients qui nous font confiance depuis des années
• un manifeste pour garantir des formations à taille humaine, des formateurs passionnés, de véritables workshops...
• 92 formations au catalogue, 1137 sessions depuis nos débuts en 2012 avec une moyenne de satisfaction de 4,6/5
• la possibilité de vous proposer un accompagnement personnalisé ou du conseil après la formation