Formation sécurité web

Apprenez à mieux gérer la sécurité d'une application LAMP. 

Objectifs pédagogiques

  • Comprendre les principales attaques de sécurité pour apprendre à mieux développer des applications web
  • Comprendre les règles principales de développement sécurisé
  • Comprendre les principaux éléments de configuration des services LAMP afin de mieux protéger les applications

Formation sécurité web en détail

 Programme

1. Révisions : le protocole HTTP

  • HTTP/1.0 HTTP/1.1 
  • codes HTTP (200,404,302,301,503,500,100,…)
  • Proxy et reverse proxy caches
  • Tunneling HTTP
  • Authentification HTTP
  • Cookies et Sessions
  • GET vs POST 
  • Entêtes spécifiques (Vary, Content-Lenght, Content-Encoding, Mime, etc.)
  • HTTPS : HTTP over TLS
  • Autres protocoles : DNS et TCP/IP

2. Apache  

  • Portée de la configuration : VirtualHosts (IP et Noms), Directory, Location 
  • mod_rewrite : les bases 
  • Les mpm : prefork, worker, event 
  • Exemples de configuration  

3. Nginx 

4. LAMP 

  • Linux - Apache - PHP - MySQL
  • Architectures classiques, séparation n-tiers, caches, montée en charge 
  • PHP, mod_php ou php-fpm 
  • Cloisonnements de configuration 
  • Ajax : Json, jsonp, XMLHttpRequests 

5. Analyser les failles 

  • CVE 
  • Vecteurs d'attaque, vulnérabilités, impacts et exploitations 
  • Évaluation des risques 

6. Étude Théorique du TOP-10 OWASP

  • Injections - Sessions et Authentification
  • Cross Site Scripting - XSS
  • Références Directes non sécurisées à un objet
  • Mauvaise configuration de sécurité
  • Exposition de données sensibles
  • Manque de contrôle d'accès fonctionnel
  • Falsification de requêtes interdites (CSRF)
  • Utilisations de composants vulnérables
  • Redirections et renvois non validés

7. Autres failles importantes 

  • Déni de Service 
  • Protection de la vie privée 
  • Fuite d'information 
  • XXE : XML external Entity Processing 
  • Clickjacking 

8. Étude pratique du top-10 OWASP

Cas pratiques sur une application minimale PHP :

  • Injections HTML 
  • Injections JavaScript
  • Injections SQL 
  • CSRF 
  • Open redirect 
  • Escalade de privilèges
  • Information disclosure
  • DOS 
  • Cache poisonning 

9. Principes de sécurisations 

  • Robustesse et Rigueur 
  • KISS 
  • Validation des Entrées, Filtrage des Sorties 
  • Sécurité en profondeur

10. Cas pratique

  • Corrections de l'application
  • Blindages de configuration :
    • Apache
    • Nginx
    • PHP 
    • MySQL/PostgreSQL 
    • mod_security : exemples.
    • Entêtes HTTP (X-Frame-Options, Content-Security-Policy, …)

11. Retours sur les points clefs 

  • Authentification
    • Stockage 
    • Complexité des mots de passe   
    • Authentification multi-facteurs   
    • Transmission de mots de passe   
    • NTLM/CAS/Oauth/OpenID/SAML 
  • XSS  
    • Types d'XSS (Dom-based, reflected, etc)   
    • Techniques d'obfuscation avancées 
  • Injections SQL   
    • time-based, blind injections  
    • Injection de second ordre 

12. La sécurité d'un point de vue plus large

  • Social engineering
  • Procédures humaines 
  • Sécurité physique 
  • Tolérance aux pannes, backups 
  • Supervision 
  • Détection d'intrusion

 Public visé et pré-requis

Public

  • Développeur web
  • Architectes web

Pré-requis

  • Connaissances de PHP (niveau simple)
  • Connaissances des commandes UNIX de base
  • Connaissances des technologies des applications web (JavaScript, CSS et HTML)

Ces pré-requis seront contrôlés et validés sous forme d’entretien téléphonique réalisé au plus tard 2 semaines avant la formation. En cas de non adéquation, des solutions alternatives seront proposées.

Personne en situation de handicap

Pour toutes questions relatives à l’accueil d’un participant présentant un handicap, merci de nous contacter préalablement avant toute inscription.

 Prochaines sessions & tarifs

Formations Outils et bases de données

Sécurité Web

Paris Du 27 au 29 février 2024

Durée : 3 jours soit 21 heures
Tarif : 1800 € ht par personne

Formations Outils et bases de données

Sécurité Web

Nantes Du 15 au 17 avril 2024

Durée : 3 jours soit 21 heures
Tarif : 1800 € ht par personne

Formations Outils et bases de données

Sécurité Web

Toulouse Du 1er au 3octobre 2024

Durée : 3 jours soit 21 heures
Tarif : 1800 € ht par personne

S'inscrire

 Ingénierie pédagogique

Moyens pédagogiques et techniques

  • Les supports de cours (slides) seront disponibles en ligne et distribués en début de formation (à l'aide d'un lien vers notre outil interne ou d'une version numérisée), puis fournis au format électronique à la fin de la formation.

  • Une salle de formation équipée d'une connexion Internet, d'un vidéoprojecteur, paperboard…

  • Un ordinateur par stagiaire avec un système d'exploitation installé et les outils nécessaires.

Modalités de suivi de l'exécution du programme

  • Durant la formation : basé sur la pratique tout en alternant la théorie suite à des mises en situations qui permettent d'analyser concrètement les problèmes rencontrés, sous forme de travaux pratiques corrigés avec l’expert-formateur.

  • En fin de formation : évaluation à chaud sur l'atteinte des objectifs pédagogiques sous forme de tour de table et de test de connaissances, d'exercices, de QCM.

Moyens d'encadrement

Formation assurée par un DevOps expert en sécurité Web

 Témoignage

Experts Sécurité Web

Régis Leroy

Architecte Web-DevOp-Formateur

Nantes