Making Your Wishes Come True

Formation Sécurité des Applications Web et Monitoring Sécurité

La sécurité est la préoccupation et la responsabilité de tous, en particulier sur le web où le nombre et la complexité des menaces ne cessent de croitre.

Cette formation vous apprendra à déceler les points faibles de vos applications web, développer de façon sécurisée et corriger vos vulnérabilités. Vous apprendrez également à superviser l’activité de vos applications web afin de détecter et réagir aux tentatives d’intrusion.

{
    durée: 3 jours,
    prix: callUs()
}

Objectifs

  • Découvrir les menaces Web classiques et modernes.

  • Savoir repérer vos points faibles.

  • Savoir corriger vos vulnérabilités et développer de façon sécurisée.

  • Apprendre à mettre en place et exploiter un système de “monitoring” sécurité afin de détecter et réagir aux tentatives d’intrusion.

 

Prérequis

  • Connaissances en développement Web : JavaScript / HTTP / HTML.

 

Programme

Les applications Web et les menaces

  • Comment fonctionne le Web : DNS / HTTP / TLS.

  • Comment fonctionnent les applications “single-page”.

  • KYA : “Know Your Attacker”. Connaitre votre attaquant.

  • Menaces : Man In The Browser / Distribution de Malwares / Advanced Persistent Threat / Ransomware.

  • Risques.

 Les vulnérabilités

Les vulnérabilités présentées ci-dessous seront expérimentées par les stagiaires sous forme d’atelier “ethical hacking” sur une application volontairement vulnérable.

  • Injection de code.

  • Injection SQL.

  • “Broken Authentication and Session Management”.

  • “Reflected XSS”, “Persistent XSS” and “DOM XSS”.

  • “Insecure Direct Object Reference”.

  • Erreurs de configuration.

  • Exposition de données sensibles.

  • Vérifications insuffisantes des données échangées.

  • “Cross-Site Request Forgery”.

  • Utilisation de composants vulnérables.

  • Redirections non validées.

“Single-Page Application” et sécurité des APIs REST

  • DOM XSS.

  • Validation client vs. Validation API.

  • Fuites et accès non autorisées aux ressources de l’API.

  • Fuite du token d’authentification.

TLS, authentification et authentification forte

  • Choix des algorithmes cryptographiques à utiliser.

  • Authentification avec certificat client et PKCS#11.

  • Authentification avec “One-Time Password”.

ModSecurity

  • Mise en place de ModSecurity.

  • Edition et gestion des règles ModSecurity.

  • Système de “scoring” ModSecurity.

  • Le “virtual patching” avec ModSecurity.

“Monitoring” sécurité avec ModSecurity et Splunk.

  • Corrélation d’évènements.

  • Création de dashboards.

 

Contactez-nous sur contact@wishtack.com ou appelez-nous au +33 7 56 78 04 04 pour toutes vos questions et réservations.

Advertisements
%d bloggers like this: