Ces dernières années, les applications Web sont devenues les pièces maîtresses du système d’information. Elles sont populaires et incontournables, aussi bien auprès des utilisateurs que de l’organisation qui les déploie.
C’est pour cela que, même si le paysage des menaces informatiques évolue au grès des usages et des évolutions technologiques, les applications Web restent invariablement l’un si ce n’est le plus important des vecteurs d’attaque dirigées contre un système d’information.
Pour votre entreprise, les conséquences d’un piratage se traduisent directement en termes de vol d’information, perte d’actifs, interruption d’activité, perte de clients ou de crédibilité. Les
coûts associés explosent.
Pour cette formation, mettez au placard vos solutions de sécurisation (antivirus, firewall,...), nous vous montrerons que la qualité de votre code reste la meilleure parade.
Entrez dans la peau d’un pirate et apprenez à pirater vos applications Web. Vous saurez alors les sécuriser et en tester la robustesse.

Les nombreux exercices pratiques qui ponctueront la formation vous permettront de mettre en évidence des failles de sécurité et assurer l'application de correctifs. Au terme des 3 jours de formation, vous serez en mesure de renforcer et tester la sécurité de vos applications.

Les objectifs

• Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre une application vulnérable.
• Installer, configurer et utiliser des outils permettant d’analyser vos applications

Pré-requis

• Expérience en programmation, idéalement en développement web
• Ordinateur portable avec VirtualBox installé

Le programme de la formation Sécurité des applications web

Jour 1

Introduction : le paysage de l'insécurité numérique

• Les technologies web, les risques
• Mythes et réalités
• Statistiques et évolutions
• Retours d'expériences

Attaquants et défenseurs

• Le profil des "pirates", leur arsenal
• La défense (politique de sécurité, législation, réponse des éditeurs...)
• Le Bug Bounty ; avantages et inconvénients

Architecture d'une application Web et vecteurs d’attaque

• Architecture générale et évolutions
• Navigateurs Web, serveurs HTTP : fonctionnement, faiblesses

Le protocole HTTP

• Format des requêtes standards et malicieuses
• Mécanismes d'authentification HTTP
• Génération de requêtes HTTP
• Découverte passive d'information
• Comprendre les étapes d'une attaque

Travaux pratiques

• Recherche de sources ouvertes, Google dorks...
• Scan de ports / Fingerprinting
• Introduction à l'utilisation d'un proxy Web
• Rejeu et injection de requêtes HTTP modifiées

Jour 2

Vulnérabilités des applications Web

• L'exposition des applications Web
• Classement des risques majeurs selon l'OWASP et le CWE
• Analyse des vulnérabilités et des conséquences de leur exploitation
• Les principales attaques : "Cross Site Scripting” (XSS) / Les attaques en injection / Les attaques sur les authentifications et sessions / CSRF...
• Les vulnérabilités des frameworks et CMS

Outils de détection et d’exploitation

• Les scanners de vulnérabilités Web
• L'analyse statique de code
• Les outils d’analyse manuelle
• Exploitation SQL
• Brute-force et fuzzing

Travaux pratiques

• Découverte de défauts de gestion de session et d'authentification sur une application
• Exploitation de failles top 10 OWASP

Jour 3

Principe du développement sécurisé

• Les écueils
• La sécurité dans le cycle de développement
• Application à AGILE/SCRUM
• Le budget
• Le rôle du code côté client
• Le contrôle des données envoyées par le client
• Les règles de développement à respecter

Bonnes pratiques et contre-mesures

• Authentification des utilisateurs et stockage des mots de passe
• Chiffrement des flux
• Les tests : Intégration de tests de sécurité dans le développement / Réalisation de tests d’intrusion en interne / L'audit de sécurité

Travaux pratiques

• Exploitation de XXE
• Découverte de vulnérabilités sur une application Web, analyse du code source vulnérable

Le(s) formateur(s)

Fred André

Valentin Baumont, Loïc Bénis, et Frédéric André se sont rencontrés sur les bancs d’un Master II en Sécurité de l’Information.
Diplôme en poche, leur curiosité, leur passion pour la sécurité informatique et un zeste de folie les amènent à fonder ensemble la société Calypt.
Depuis, ils ont participé au développement et à l’intégration de produits de sécurité. Ils ont également réalisé des études de sécurité ainsi que de nombreux audits de vulnérabilité et tests d’intrusion pour le compte de PME comme de grands groupes (banque, opérateur d’importance vitale...).
Ces activités leur permettent de porter les casquette d’attaquant et de développeur et de vous exposer de façon pratique, appuyée par les retours d’expériences du terrain, les techniques d’attaque mises en oeuvre par les pirates et les moyens de s’en prémunir.

Voir son profil détaillé

Suivi de formation en option

A l'issue de la formation, nos formateurs peuvent aussi intervenir pour vous accompagner dans la mise en application des compétences acquises :

• en répondant à vos questions lors de rendez-vous téléphoniques réguliers
• en étant présents physiquement à l'amorce du projet
• en réalisant un audit de vos pratiques quelques semaines/mois après la formation

Cette idée vous intéresse ? Faîtes-le nous savoir pour que nous trouvions la formule adaptée à votre situation.