Vous souhaitez discuter avec nous à propos de votre projet de formation ?
Vous voulez plus d'information sur une formation ou notre fonctionnement ?
Rappel Email
Dates
Nous pouvons organiser des sessions à d'autres dates ou dans d'autres villes (Bordeaux, Lille, Lyon, Marseille, Montpellier, Nantes, Nice, Paris, Strasbourg, Toulouse...)
Durant cette formation, vous apprendrez à tester puis à renforcer la sécurité de vos applications Web.
Cette formation Hacking et sécurité des applications Web s’adresse à des développeur·se·s Web (frontend, backend, ou full-stack) souhaitant monter en compétence sur les thématiques liées à la sécurité applicative en comprenant comment les attaquants compromettent les applications Web et comment se prémunir des attaques visant vos applications.
Ces dernières années, les applications Web sont devenues les pièces maîtresses du système d’information. Elles sont populaires et incontournables, aussi bien auprès des utilisateurs que de l’organisation qui les déploie.
C’est pour cela que, même si le paysage des menaces informatiques évolue au grès des usages et des évolutions technologiques, les applications Web restent invariablement l’un si ce n’est le plus important des vecteurs d’attaque dirigées contre un système d’information.
Pour votre entreprise, les conséquences d’un piratage se traduisent directement en termes de vol d’information, perte d’actifs, interruption d’activité, perte de clients ou de crédibilité. Les
coûts associés explosent.
Durant cette formation Hacking et sécurité des applications Web, mettez au placard vos solutions de sécurisation (antivirus, firewall,...), nous vous montrerons que la qualité de votre code reste la meilleure parade.
Entrez dans la peau d’un pirate et apprenez à pirater vos applications Web. Vous saurez alors les sécuriser et en tester la robustesse.
Les nombreux exercices pratiques qui ponctueront la formation Hacking et sécurité des applications web, vous permettront de mettre en évidence des failles de sécurité et assurer l'application de correctifs.
Envie d'aller plus loin ?
Apprenez à renforcer la sécurité de vos applications Web en utilisant les mécanismes prévus par les navigateurs lors de la formation Sécurité Web côté clients !
Puis, pour améliorer vos connaissances des processus à l'œuvre dans la détection et l'analyse d'attaques informatique, jetez un oeil à la formation Réponse à un incident !
Les objectifs
- Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre une application vulnérable
- Installer, configurer et utiliser des outils permettant d’analyser efficacement vos applications
Pré-requis
- Expérience en programmation, idéalement en développement Web (des bases en HTML, JavaScript et SQL sont nécessaires pour les exercices).
- Installations nécessaires sur votre machine : des droits d'administration suffisants pour installer les outils nécessaires à la réalisation des travaux pratiques
- Ordinateur portable à apporter
Le programme de la formation Hacking et sécurité des applications web
Jour 1 : contexte, architecture Web et vecteurs d'attaque
Introduction : le paysage de l'insécurité numérique
- Les technologies Web, les risques
- Mythes et réalités
- Statistiques et évolutions
- Retours d'expériences
Attaquants et défenseurs
- Le profil des "pirates", leur arsenal
- La défense (politique de sécurité, législation, réponse des éditeurs...)
- Le Bug Bounty ; avantages et inconvénients
Architecture d'une application Web et vecteurs d’attaque
- Architecture générale : client et serveur HTTP
- Navigateurs Web, serveurs HTTP : fonctionnement, faiblesses
Le protocole HTTP
- Format des requêtes standards et malicieuses
- Génération de requêtes HTTP
- Découverte passive d'information
- Comprendre les étapes d'une attaque
Mises en pratique :
- Recherche de sources ouvertes, Google dorks
- Scan de ports / Fingerprinting
- Introduction à l'utilisation d'un proxy Web
- Rejeu et injection de requêtes HTTP modifiées
Jour 2 : détecter la vulnérabilité de vos applications
Vulnérabilités des applications Web
- L'exposition des applications Web
- Classement des risques majeurs selon l'OWASP et le CWE (MITRE)
- Analyse des vulnérabilités et des conséquences de leur exploitation
- Les principales attaques : "Cross Site Scripting” (XSS) / Les attaques en injection / Les attaques sur les authentifications et sessions / CSRF...
- Les vulnérabilités des frameworks et CMS
Outils de détection et d’exploitation
- Les scanners de vulnérabilités Web
- L'analyse statique de code
- Les outils d’analyse manuelle
- Exploitation SQL
- Brute-force et fuzzing
Mises en pratiques :
- Découverte de défauts de gestion de session et d'authentification sur une application
- Exploitation de failles top 10 OWASP
Jour 3 : sécuriser vos applications Web
Principe du développement sécurisé
- Les écueils
- La sécurité dans le cycle de développement
- Application à AGILE/SCRUM
- Le budget
- Le rôle du code côté client
- Le contrôle des données envoyées par le client
- Les règles de développement à respecter
Bonnes pratiques et contre-mesures
- Authentification des utilisateurs et stockage des mots de passe
- Chiffrement des flux
- Les tests : Intégration de tests de sécurité dans le développement / Réalisation de tests d’intrusion en interne / L'audit de sécurité
Mises en pratiques :
- Exploitation de XXE
- Découverte de vulnérabilités sur une application Web, analyse du code source vulnérable
Le(s) formateur(s)
Fred André
Valentin Baumont, Loïc Bénis, et Frédéric André se sont rencontrés sur les bancs d’un Master II en Sécurité de l’Information.
Diplôme en poche, leur curiosité, leur passion pour la sécurité informatique et un zeste de folie les amènent à fonder ensemble la société Calypt.
Depuis, ils ont participé au développement et à l’intégration de produits de sécurité. Ils ont également réalisé des études de sécurité ainsi que de nombreux audits de vulnérabilité et tests d’intrusion pour le compte de PME comme de grands groupes (banque, opérateur d’importance vitale...).
Ces activités leur permettent de porter les casquette d’attaquant et de développeur et de vous exposer de façon pratique, appuyée par les retours d’expériences du terrain, les techniques d’attaque mises en oeuvre par les pirates et les moyens de s’en prémunir.
A propos de Human Coders
Human Coders c'est un centre de formation pour développeurs avec :
- une certification Qualiopi, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
- de nombreux clients qui nous font confiance depuis des années
- un manifeste pour garantir des formations à taille humaine, des formateurs passionnés, de véritables workshops...
- 77 formations au catalogue, 920 sessions depuis nos débuts en 2012 avec une moyenne de satisfaction de 4,6/5
- la possibilité de vous proposer un accompagnement personnalisé ou du conseil après la formation
26 témoignages
Formateur passionné et pédagogue. Merci beaucoup!
Michael LADOWICHX
Super formation, et super formateur :) Malgré le contexte qui a transformer notre formation présentielle en full distance, j'ai vraiment été plongé dans le contenu et les TP de la formation. Retour d'xp très intéressants aussi.
Matthieu DELMAS
Formation très instructive, voir la sécurité de façon offensive est une expérience enrichissante !
Gwendal DUGUE
Excellente formation et formateur. Contenu pertinent et à la pointe, bien orienté développeurs et développements. Echanges réguliers durant la formation sur des REX pertinents. Théorie et pratique parfaitement en adéquation avec les problématiques du marché d'aujourd'hui.
Pierre-Olivier BLOUIN
Fred est un bon orateur, on bon pédagogue et très certainement un bon professionnel. La formation était homogène et bien répartie. Les cas d'exemples concrets. Bravo
Cyril Leclercq
Contenu qualitatif, formateur très pédagogue et compétent.
Kevin Foliot
C'est une bonne formation, mais en fonction des connaissances qu'on a déjà les TP seront plus abordables pour certaines personnes. Il vaut mieux avoir un petit niveau en développement sinon c'est la noyade assurée. Personnellement, j'ai trouvé la formation super interessante mais je réalise qu'il y a des domaines ou je n'avais pas les compétences nécessaires pour bien assimiler certaines choses.
Florian BOUCLY
Cette formation permet de vraiment se sensibiliser sur les pratiques des hackers afin de comprendre comment ces derniers peuvent repérer les failles de nos applications. Très instructif !
Yoann FLEGEAU
Formation très intéressante, formateur extra, disponible et clair. Nombreux cas pratiques.
Benjamin HAMEL
Formation très intéressante. Travaux pratiques très enrichissants.
Didier MONNIER
Très bien
Cécile NOIRAT
Formation très intéressante qui sensibilise bien à la sécurité. Souvent on met l'accent sur la sécurité sans pour autant donner d'explications tangibles. Là, on comprend bien le risque et l'enjeu qui se joue. Elle nécessite des prérequis de connaissance importants. Très bonne pédagogie du formateur.
Pierre CHAUBET
Formation très intéressante qui sensibilise vraiment aux failles du développement WEB.
Thierry DEVES
Très interessant de se mettre à la place de l'attaquant afin d'en comprendre la méthodologie et les techniques utilisées.
Clément CHAVRY
La formation est très instructive et apporte beaucoup de clés, pour introduire à une démarche de développeur des éléments de réflexion autour de la sécurité. J'ai été très intéressé par les sujets sur Agile + Sécurité (SCRUM SDLC, etc.)
Remy VUONG
Un formateur excellent sur un sujet passionnant. Beaucoup d'expertise. Contenu riche. Je recommande vivement.
Emmanuel BLANC
Très bonne formation !
Thibault DIGONNET
Formation parfaite ! Elle aurait été encore mieux en "physique", mais le contexte actuel ne le permettait pas. Un grand merci pour cette formation de qualité.
Maxime LEGRAND
Très bien
Jean-Michel BERNOUIN
Cette formation m'a fait découvrir tout un pan de l'informatique dont je minimisais l'importance. L'approche par des travaux pratiques permet d'assimiler plus facilement les différents concepts et de mieux comprendre par la suite l'importance des bonnes pratiques et outils à utiliser afin de mieux se prémunir.
Benjamin ROUX
Super formation ! Un intervenant très compétent et des connaissances utiles et surtout nécessaires aujourd'hui
Guillaume GIROUX
Très bon panorama de l'environnement de la sécurité des applications, bonnes introduction aux méthodologies, ponctuée s de travaux pratiques. Je recommande !
Colin FAY
Bonne formation, avec des exercices pratiques et des exemples pour illustrer la théories
Frédéric GERMONNEAU
J'ai suivi cette formation en n'ayant que de très minces connaissances en sécurité et je l'ai trouvée claire et très accessible.
Luana LORTHIOS
Bonne formation pour y voir un peu plus clair dans l'univers des failles de sécurités.
Nithyan KUGATHASAN
J'ai appris énormément sur le sujet lors de cette formation. De nombreuses découvertes sur les vulnérabilités du web et cela à tout niveau (du développement aux choix d'architectures...).
Mickael BERNIER
Besoin d'aide ?
Nos forces
- Des formations à taille humaine
- Des formateurs passionnés
- Des véritables workshop
Nos clients
Durant cette formation, vous apprendrez à tester puis à renforcer la sécurité de vos applications Web.
Cette formation Hacking et sécurité des applications Web s’adresse à des développeur·se·s Web (frontend, backend, ou full-stack) souhaitant monter en compétence sur les thématiques liées à la sécurité applicative en comprenant comment les attaquants compromettent les applications Web et comment se prémunir des attaques visant vos applications.
Ces dernières années, les applications Web sont devenues les pièces maîtresses du système d’information. Elles sont populaires et incontournables, aussi bien auprès des utilisateurs que de l’organisation qui les déploie.
C’est pour cela que, même si le paysage des menaces informatiques évolue au grès des usages et des évolutions technologiques, les applications Web restent invariablement l’un si ce n’est le plus important des vecteurs d’attaque dirigées contre un système d’information.
Pour votre entreprise, les conséquences d’un piratage se traduisent directement en termes de vol d’information, perte d’actifs, interruption d’activité, perte de clients ou de crédibilité. Les
coûts associés explosent.
Durant cette formation Hacking et sécurité des applications Web, mettez au placard vos solutions de sécurisation (antivirus, firewall,...), nous vous montrerons que la qualité de votre code reste la meilleure parade.
Entrez dans la peau d’un pirate et apprenez à pirater vos applications Web. Vous saurez alors les sécuriser et en tester la robustesse.
Les nombreux exercices pratiques qui ponctueront la formation Hacking et sécurité des applications web, vous permettront de mettre en évidence des failles de sécurité et assurer l'application de correctifs.
Envie d'aller plus loin ?
Apprenez à renforcer la sécurité de vos applications Web en utilisant les mécanismes prévus par les navigateurs lors de la formation Sécurité Web côté clients !
Puis, pour améliorer vos connaissances des processus à l'œuvre dans la détection et l'analyse d'attaques informatique, jetez un oeil à la formation Réponse à un incident !
Covid-19: Nous restons ouverts. Cette formation est disponible à distance.
Les objectifs
- Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre une application vulnérable
- Installer, configurer et utiliser des outils permettant d’analyser efficacement vos applications
Pré-requis
- Expérience en programmation, idéalement en développement Web (des bases en HTML, JavaScript et SQL sont nécessaires pour les exercices).
- Installations nécessaires sur votre machine : des droits d'administration suffisants pour installer les outils nécessaires à la réalisation des travaux pratiques
- Ordinateur portable à apporter
Le programme de la formation Hacking et sécurité des applications web
Jour 1 : contexte, architecture Web et vecteurs d'attaque
Introduction : le paysage de l'insécurité numérique
- Les technologies Web, les risques
- Mythes et réalités
- Statistiques et évolutions
- Retours d'expériences
Attaquants et défenseurs
- Le profil des "pirates", leur arsenal
- La défense (politique de sécurité, législation, réponse des éditeurs...)
- Le Bug Bounty ; avantages et inconvénients
Architecture d'une application Web et vecteurs d’attaque
- Architecture générale : client et serveur HTTP
- Navigateurs Web, serveurs HTTP : fonctionnement, faiblesses
Le protocole HTTP
- Format des requêtes standards et malicieuses
- Génération de requêtes HTTP
- Découverte passive d'information
- Comprendre les étapes d'une attaque
Mises en pratique :
- Recherche de sources ouvertes, Google dorks
- Scan de ports / Fingerprinting
- Introduction à l'utilisation d'un proxy Web
- Rejeu et injection de requêtes HTTP modifiées
Jour 2 : détecter la vulnérabilité de vos applications
Vulnérabilités des applications Web
- L'exposition des applications Web
- Classement des risques majeurs selon l'OWASP et le CWE (MITRE)
- Analyse des vulnérabilités et des conséquences de leur exploitation
- Les principales attaques : "Cross Site Scripting” (XSS) / Les attaques en injection / Les attaques sur les authentifications et sessions / CSRF...
- Les vulnérabilités des frameworks et CMS
Outils de détection et d’exploitation
- Les scanners de vulnérabilités Web
- L'analyse statique de code
- Les outils d’analyse manuelle
- Exploitation SQL
- Brute-force et fuzzing
Mises en pratiques :
- Découverte de défauts de gestion de session et d'authentification sur une application
- Exploitation de failles top 10 OWASP
Jour 3 : sécuriser vos applications Web
Principe du développement sécurisé
- Les écueils
- La sécurité dans le cycle de développement
- Application à AGILE/SCRUM
- Le budget
- Le rôle du code côté client
- Le contrôle des données envoyées par le client
- Les règles de développement à respecter
Bonnes pratiques et contre-mesures
- Authentification des utilisateurs et stockage des mots de passe
- Chiffrement des flux
- Les tests : Intégration de tests de sécurité dans le développement / Réalisation de tests d’intrusion en interne / L'audit de sécurité
Mises en pratiques :
- Exploitation de XXE
- Découverte de vulnérabilités sur une application Web, analyse du code source vulnérable
Le(s) formateur(s)
Fred André
Valentin Baumont, Loïc Bénis, et Frédéric André se sont rencontrés sur les bancs d’un Master II en Sécurité de l’Information.
Diplôme en poche, leur curiosité, leur passion pour la sécurité informatique et un zeste de folie les amènent à fonder ensemble la société Calypt.
Depuis, ils ont participé au développement et à l’intégration de produits de sécurité. Ils ont également réalisé des études de sécurité ainsi que de nombreux audits de vulnérabilité et tests d’intrusion pour le compte de PME comme de grands groupes (banque, opérateur d’importance vitale...).
Ces activités leur permettent de porter les casquette d’attaquant et de développeur et de vous exposer de façon pratique, appuyée par les retours d’expériences du terrain, les techniques d’attaque mises en oeuvre par les pirates et les moyens de s’en prémunir.
A propos de Human Coders
Human Coders c'est un centre de formation pour développeurs avec :
- une certification Qualiopi, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
- de nombreux clients qui nous font confiance depuis des années
- un manifeste pour garantir des formations à taille humaine, des formateurs passionnés, de véritables workshops...
- 77 formations au catalogue, 920 sessions depuis nos débuts en 2012 avec une moyenne de satisfaction de 4,6/5
- la possibilité de vous proposer un accompagnement personnalisé ou du conseil après la formation
26 témoignages
Formateur passionné et pédagogue. Merci beaucoup!
Michael LADOWICHX
Super formation, et super formateur :) Malgré le contexte qui a transformer notre formation présentielle en full distance, j'ai vraiment été plongé dans le contenu et les TP de la formation. Retour d'xp très intéressants aussi.
Matthieu DELMAS
Formation très instructive, voir la sécurité de façon offensive est une expérience enrichissante !
Gwendal DUGUE
Excellente formation et formateur. Contenu pertinent et à la pointe, bien orienté développeurs et développements. Echanges réguliers durant la formation sur des REX pertinents. Théorie et pratique parfaitement en adéquation avec les problématiques du marché d'aujourd'hui.
Pierre-Olivier BLOUIN
Fred est un bon orateur, on bon pédagogue et très certainement un bon professionnel. La formation était homogène et bien répartie. Les cas d'exemples concrets. Bravo
Cyril Leclercq
Contenu qualitatif, formateur très pédagogue et compétent.
Kevin Foliot
C'est une bonne formation, mais en fonction des connaissances qu'on a déjà les TP seront plus abordables pour certaines personnes. Il vaut mieux avoir un petit niveau en développement sinon c'est la noyade assurée. Personnellement, j'ai trouvé la formation super interessante mais je réalise qu'il y a des domaines ou je n'avais pas les compétences nécessaires pour bien assimiler certaines choses.
Florian BOUCLY
Cette formation permet de vraiment se sensibiliser sur les pratiques des hackers afin de comprendre comment ces derniers peuvent repérer les failles de nos applications. Très instructif !
Yoann FLEGEAU
Formation très intéressante, formateur extra, disponible et clair. Nombreux cas pratiques.
Benjamin HAMEL
Formation très intéressante. Travaux pratiques très enrichissants.
Didier MONNIER
Très bien
Cécile NOIRAT
Formation très intéressante qui sensibilise bien à la sécurité. Souvent on met l'accent sur la sécurité sans pour autant donner d'explications tangibles. Là, on comprend bien le risque et l'enjeu qui se joue. Elle nécessite des prérequis de connaissance importants. Très bonne pédagogie du formateur.
Pierre CHAUBET
Formation très intéressante qui sensibilise vraiment aux failles du développement WEB.
Thierry DEVES
Très interessant de se mettre à la place de l'attaquant afin d'en comprendre la méthodologie et les techniques utilisées.
Clément CHAVRY
La formation est très instructive et apporte beaucoup de clés, pour introduire à une démarche de développeur des éléments de réflexion autour de la sécurité. J'ai été très intéressé par les sujets sur Agile + Sécurité (SCRUM SDLC, etc.)
Remy VUONG
Un formateur excellent sur un sujet passionnant. Beaucoup d'expertise. Contenu riche. Je recommande vivement.
Emmanuel BLANC
Très bonne formation !
Thibault DIGONNET
Formation parfaite ! Elle aurait été encore mieux en "physique", mais le contexte actuel ne le permettait pas. Un grand merci pour cette formation de qualité.
Maxime LEGRAND
Très bien
Jean-Michel BERNOUIN
Cette formation m'a fait découvrir tout un pan de l'informatique dont je minimisais l'importance. L'approche par des travaux pratiques permet d'assimiler plus facilement les différents concepts et de mieux comprendre par la suite l'importance des bonnes pratiques et outils à utiliser afin de mieux se prémunir.
Benjamin ROUX
Super formation ! Un intervenant très compétent et des connaissances utiles et surtout nécessaires aujourd'hui
Guillaume GIROUX
Très bon panorama de l'environnement de la sécurité des applications, bonnes introduction aux méthodologies, ponctuée s de travaux pratiques. Je recommande !
Colin FAY
Bonne formation, avec des exercices pratiques et des exemples pour illustrer la théories
Frédéric GERMONNEAU
J'ai suivi cette formation en n'ayant que de très minces connaissances en sécurité et je l'ai trouvée claire et très accessible.
Luana LORTHIOS
Bonne formation pour y voir un peu plus clair dans l'univers des failles de sécurités.
Nithyan KUGATHASAN
J'ai appris énormément sur le sujet lors de cette formation. De nombreuses découvertes sur les vulnérabilités du web et cela à tout niveau (du développement aux choix d'architectures...).
Mickael BERNIER
Nos clients
* Nombre de personnes ayant répondu au questionnaire de satisfaction sur cette formation depuis 2012