Formation

Sécurité des applications Web

✓ 1 jour - 7 heures

✓ Sessions inter-entreprises le 16 avril 2019 et le 3 octobre 2019

Ce que nous proposons

L’intrusion sur le système d’information de l’entreprise représente un risque majeur. Il est essentiel de comprendre et d’appliquer  les bonnes pratiques  permettant d’apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement à celles exposées sur internet. Résolument pragmatique, cette formation vous apportera  les clés de la protection d’un service en ligne  à partir d’exemples concrets d’attaques et de ripostes adaptées

Objectifs

  • Comprendre et appliquer les bonnes pratiques permettant d’apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement à celles exposées sur internet
  • Vous apporter les clés de la protection d’un service en ligne à partir d’exemples concrets d’attaques et de ripostes adaptées

Contenu pédagogique

Introduction

  • Qu’est-ce que la sécurité ?
  • Présentation des éléments à sécuriser dans un SI

Constituants d'une application Web

  • Les éléments d’une application N-tiers
  • Le serveur frontal HTTP, son rôle et ses faiblesses
  • Les risques intrinsèques de ces composants
  • Les acteurs majeurs du marché

Le protocole HTTP

  • Rappels TCP, HTTP, persistance et pipelining
  • Les PDU GET, POST, PUT, DELETE, HEAD et TRACE
  • Champs de l’en-tête, codes de status 1xx à 5xx
  • Redirection, hôte virtuel, proxy cache et tunneling
  • Les cookies, les attributs, les options associées
  • Les authentifications (Basic, Improved Digest…)
  • L’accélération http, proxy, le Web balancing
  • Attaques protocolaires HTTP Request Smuggling et HTTP Response splitting

Démonstration (10min) : Mise en œuvre de l’analyseur réseau Wireshark

Sécurisation des flux avec SSL / TLS Rappels des techniques cryptographiques utilisées dans SSL et TLS.

  • Gérer ses certificats serveurs, le standard X509
  • Qu’apporte le nouveau certificat X509 EV ?
  • Quelle autorité de certification choisir ?
  • Les techniques de capture et d’analyse des flux SSL
  • Les principales failles des certificats X509
  • Utilisation d’un reverse proxy pour l’accélération SSL
  • L’intérêt des cartes crypto hardware HSM

Les vulnérabilités des applications Web

  • Pourquoi les applications Web sont-elles plus exposées ?
  • Les risques majeurs des applications Web selon l’OWASP (Top Ten 2010)
  • Les attaques  » Cross Site Scripting  » ou XSS – Pourquoi sont-elles en pleine expansion ? Comment les éviter ?
  • Les attaques en injection (Commandes injection, SQL Injection, LDAP injection…)
  • Les attaques sur les sessions (cookie poisonning, session hijacking…)
  • Exploitation de vulnérabilités sur le frontal HTTP (ver Nimda, faille Unicode…)
  • Attaques sur les configurations standard (Default Password, Directory Transversal…)

Démonstration (20min) : Exploitation d’une faille sur le frontal http

Le firewall dans la protection d'application HTTP

  • Le firewall réseau
  • Le firewall applicatif
  • Combien de DMZ pour une architecture N-Tiers
  • Limites des firewalls dans la protection d’une application Web

Apache HTTPd

  • La configuration par défaut, le risque majeur
  • Règles à respecter lors de l’installation d’un système d’exploitation
  • Comment configurer Apache pour une sécurité optimale

Apache Tomcat

  • La configuration par défaut, le risque majeur
  • Règles à respecter lors de l’installation d’un système d’exploitation
  • Comment configurer Apache pour une sécurité optimale

L'authentification des utilisateurs

  • L’authentification via HTTP : Basic Authentication et Digest Authentication ou par l’application (HTML form)
  • L’authentification forte : certificat X509 client, Token SecurID, ADN digital Mobilegov…
  • Autres techniques d’authentification par logiciel : CAPTCHA, Keypass, etc
  • Attaque sur les mots de passe : sniffing, brute force, phishing, keylogger
  • Attaque sur les numéros de session (session hijacking) ou sur les cookies (cookie poisoning)
  • Attaque sur les authentifications HTTPS (fake server, sslsniff, X509 certificate exploit…)

Démonstration (si temps nécessaire) : Attaque  » Man in the Middle  » sur l’authentification d’un utilisateur et vol de session (session hijacking)

Sécurité des Web Services REST

  • Sécurisation du transport avec SSL/TLS
  • Sécurisation des messages : HMAC, Doseta, JWS…
  • Les menaces STRIDE : Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of privilege
  • Réduction des risques : chiffrement du transport, AuthN, SSL/TLS, WAF/XML Gateway, chiffrement des messages JSON
  • Bonnes pratiques de développement associées

Démonstration (si temps nécessaire) : Mise à l’épreuve des services REST lors d’attaque inopinées

Intéressé(e) par cette formation ?

Promis vous ne le regretterez pas !

formation@sodifrance.fr 02 99 23 46 51


Public

  • Administrateurs réseaux
  • Systèmes
  • Webmaster

Pré-requis

  • Connaissances de base en systèmes, réseaux et Internet

Méthodes et moyens pédagogiques

  • 1 poste/stagiaire
  • Alternance théorie/pratique
  • 8 stagiaires maximum

Durée

  • 1 jour – 7 heures

Cette formation est aussi disponible en intra-entreprise, nous consulter pour plus d’informations

Au fait !

Êtes-vous allés découvrir nos expertises ?

Au fait !

Êtes-vous allés découvrir nos expertises ?