Sécurité des serveurs et application web Mixte : présentiel / à distance

Dernière mise à jour : 21/12/2023

Bannière visuelle de présentation de la formation

Introduction

Les applications web constituent le point le plus vulnérable au sein des entreprises. Il n'est pas rare que des failles de sécurité donnent lieu, par exemple, à des vols de millions de numéros de cartes de crédit, à des dommages financiers, à d'importants impacts sur l'image, voire même à la compromission de milliers de machines d'internautes consultant le site web piraté. Cette formation présente les vulnérabilités classiques du Web à travers les tests d'intrusion et les moyens d'y remédier.

Objectifs de la formation

• Les enjeux de la sécurité web

• Les méthodes d'attaque sur le web et comment s'en protéger

• Les bases de la cryptographie, quand et comment l'utiliser

• Les méthodes d'authentification web

• Les bonnes pratiques de développement sécurisé

• Les techniques de protection des serveurs

Public visé

• Développeur web

• Architecte d'application web ou de solutions de sécurité web (pare-feu applicatif…)

• Administrateur systèmes

• Pentester débutant

Prérequis

• Avoir une expérience dans le développement web ou des connaissances en réseaux et systèmes sont un plus

Programme

Introduction

• La sécurité informatique

• Cadre normatif et législatif

• Les différents types de menace et leurs évolutions

• Comprendre l'attaquant pour mieux se protéger

 

L'infrastructure web

• L'analyse de risques intégrée dans un projet

• Les spcécifications des exigences de sécurité liées aux spécifications d'un logiciel et de son infrastructure

• Les choix de design

• Architecture matérielle et applicative

• Découverte de l'environnement

Travaux pratiques : collecte d'information, scan réseau, transfert de zone, protection

 

Les protocoles du web

• Le protocole HTTP :

  • Les méthodes de base
  • Les entêtes
  • Cookie, token et session
  • Les failles du HTTP

• Les autres protocoles sur HTTP

Travaux pratiques : Proxy, exploitation d'un analyseur de réseau, configuration d'entêtes, attaques sur sessions

 

Sécurisation des données et des flux

• Eléments de cryptographie

• Chiffrement des flux de données

• Signature électronique, certificats

• Chiffrement des données

Travaux pratiques : récupération de mots de passes

 

L'authentification

• Méthodes d'authentification http :

  • Basic
  • Digest
  • Formulaire HTML

• Méthodes d'authentification forte :

  • Token PKI
  • Certificat
  • Autres méthodes

• Modèles de délégation

• Principes d'infrastructure Single Sign On

 

Les applications Web

• Les attaques par injection :

  • Côté serveur (Commandes, LDAP, SQL…)
  • Côté client (XSS)

• Les attaques par inclusion :

  • Inclusions de fichiers locaux
  • Inclusions de fichiers distants

• Durcissement des serveurs et des OS :

  • Principes généraux sous Windows
  • Principes généraux sous Linux

• Développement sécurisé

Travaux pratiques : configuration d'un serveur web, attaques courantes et contremesures

Modalités pédagogiques

• Cours magistral illustré et approfondi par des travaux pratiques. Formation dispensée en français

Moyens et supports pédagogiques

• Supports de cours papier en français

Modalités d'évaluation et de suivi

• A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECWEB Deloitte Cyber Academy.

Informations sur l'accessibilité

Nos locaux sont accessibles aux personnes à mobilité réduite (PMR)

M'inscrire à la formation

Afin de valider votre demande d'inscription, merci de bien vouloir compléter le formulaire ci-dessous.

Ajouter à ma demande

Session sélectionnée

    Prochaines Sessions

    • 16/12/24 09:30 → 20/12/24 17:30 Présentiel 12 places restantes

    Dans la même catégorie

    Retour à la page d'accueil

    Partager cette formation