Orsys

Sécurité des applications Web, perfectionnement

Par Orsys

Objectifs

  • Mettre en place un serveur Web présentant des vulnérabilités pour en observer le comportement
  • Connaitre la démarche et mise en place d'un audit d’une application Web
  • Mettre en place des mesures de sécurisation pour les applications Web
  • Mettre en oeuvre une autorité de certification privée avec intégration de certificats dans une application
  • Utiliser un web spider pour détecter les liens brisés, les pages avec ou sans authentification

Programme

Rappel sur les principales failles de sécurité

  • L'attaque Cross-Site Scripting (XSS).
  • L'injection de commandes et injection SQL.
  • Les attaques par Deni de Service (DoS).
  • Le Deni de Service Distribué (DDoS).
  • Le Buffer overflow (Débordement de pile).
  • Le projet OWASP (Open Web Application Security Project).

Travaux pratiques
Mise en place d'un serveur Web présentant des vulnérabilités pour en observer le comportement. Démonstration de l'exploitation d'un buffer overflow.

La sécurité des applications

  • Concept base et importance.
  • Les comptes créés pour effectuer les tests.
  • Les dossiers fictifs, peut-on s'en passer ?
  • Les séquences de tests et de mise au point sont-elles encore présentes en production ?

Auditer et sécuriser une application Web

  • Démarche et mise en place d'un audit. Bien gérer l'interaction avec la base de données.
  • Mettre en place une authentification sécurisée. Exploitation d'une faille d'authentification.
  • Gestion des erreurs, des exceptions et des logs.
  • Savoir effectuer l'analyse et la corrélation des informations de log.
  • Les bonnes pratiques pour avoir des formulaires sécurisés. Exemple d'exploitation d'un formulaire mal développé.

Travaux pratiques
Mise en oeuvre d'une infrastructure trois tiers, client, serveur Web et bases de données. Simulation d'une tentative d'attaque. Analyse et solution.

Le chiffrement

  • Rappels sur les principes de base.
  • Implémenter le chiffrement dans une application. Les exploitations possibles.
  • Tester si une application est bien protégée par le chiffrement.
  • Les applications de chiffrement du marché.

Travaux pratiques
Mise en oeuvre d'une autorité de certification privée avec intégration de certificats dans une application.

Tester les applications

  • Comment tester avant la mise en production.
  • Le fingerprinting : l'identification des caractéristiques du serveur (moteur web, framework, applications).
  • Utiliser un web spider pour détecter les liens brisés, les pages avec ou sans authentification et chiffrement.
  • Comment mesurer la disponibilité d'une application avec une simulation.

Travaux pratiques
Exemple de tentative d'attaques et fingerprinting. Comment écrire un web spider pour détecter les liens brisés. Vérifier l'authentification sur les pages.

Pédagogie

Bases théoriques illustrées par des travaux et exercices permettant de pratiquer.

Rappel sur les principales failles de sécurité

  • L'attaque Cross-Site Scripting (XSS).
  • L'injection de commandes et injection SQL.
  • Les attaques par Deni de Service (DoS).
  • Le Deni de Service Distribué (DDoS).
  • Le Buffer overflow (Débordement de pile).
  • Le projet OWASP (Open Web Application Security Project).

Travaux pratiques
Mise en place d'un serveur Web présentant des vulnérabilités pour en observer le comportement. Démonstration de l'exploitation d'un buffer overflow.

La sécurité des applications

  • Concept base et importance.
  • Les comptes créés pour effectuer les tests.
  • Les dossiers fictifs, peut-on s'en passer ?
  • Les séquences de tests et de mise au point sont-elles encore présentes en production ?

Auditer et sécuriser une application Web

  • Démarche et mise en place d'un audit. Bien gérer l'interaction avec la base de données.
  • Mettre en place une authentification sécurisée. Exploitation d'une faille d'authentification.
  • Gestion des erreurs, des exceptions et des logs.
  • Savoir effectuer l'analyse et la corrélation des informations de log.
  • Les bonnes pratiques pour avoir des formulaires sécurisés. Exemple d'exploitation d'un formulaire mal développé.

Travaux pratiques
Mise en oeuvre d'une infrastructure trois tiers, client, serveur Web et bases de données. Simulation d'une tentative d'attaque. Analyse et solution.

Le chiffrement

  • Rappels sur les principes de base.
  • Implémenter le chiffrement dans une application. Les exploitations possibles.
  • Tester si une application est bien protégée par le chiffrement.
  • Les applications de chiffrement du marché.

Travaux pratiques
Mise en oeuvre d'une autorité de certification privée avec intégration de certificats dans une application.

Tester les applications

  • Comment tester avant la mise en production.
  • Le fingerprinting : l'identification des caractéristiques du serveur (moteur web, framework, applications).
  • Utiliser un web spider pour détecter les liens brisés, les pages avec ou sans authentification et chiffrement.
  • Comment mesurer la disponibilité d'une application avec une simulation.

Travaux pratiques
Exemple de tentative d'attaques et fingerprinting. Comment écrire un web spider pour détecter les liens brisés. Vérifier l'authentification sur les pages.

PDF

Imprimer

Envoyer

Envoyer la page à :

Formations de la même catégories (5)

Accofor
Sécurité : Applications et serveurs webPar Accofor

Mettre en œuvre et tester des applications Web.Configurer un serveur Web pour chiffrer le trafic Web avec HTTPS.Identifier, diagnostiquer et corriger les 10 principales vulnérabilités définies par l'OWASP.Protéger des applications Web 2.0 AjaxSécuriser des services Web XML avec WS-Security.Réaliser un audit de la sécurité des applications Web.

Clever Institut
Sécurité WEBPar Clever Institut

La Cybersécurité tient une place de plus en plus importante dans les préoccupations actuelles des concepteurs de site et applications web. Une application se doit d’être à la fois robuste, scalable et sécurisée.
Durant cette formation, nous vous présentons quelques-unes des failles de sécurité les plus présentes sur le web ainsi que les méthodes employées pour les exploiter et les prévenir.

Dawan
Sécurité d’un accès à InternetPar Dawan

Comprendre les enjeux de la sécurité d'un accès Internet

Arkesys
Réseaux TCP/IP - Auditer et sécuriser un site WebPar Arkesys

Avant toute mise en ligne d'une application Web celle-ci devrait faire l'objet d'un audit de sécurité afin de vérifier qu'elle ne présente pas de faille majeure.

Orsys
Sécurité des applications Web, perfectionnementPar Orsys

Ce stage de perfectionnement vous permettra d'enrichir vos compétences pour vous protéger et mieux réagir face aux nombreuses menaces du Web. Vous verrez comment auditer la sécurité de vos applications, les tester et mettre en place les contre-mesures les plus adaptées.

Nous utilisons les cookies afin de fournir les services et fonctionnalités proposés sur notre site et afin d’améliorer l’expérience de nos utilisateurs. En cliquant sur ”J’ai compris”, vous acceptez l’utilisation de ces cookies.