Accueil / Formations / Formation sécurité Web

Formation sécurité Web

Apprenez à mieux gérer la sécurité d'une application LAMP.

Objectifs

  • Comprendre les principales attaques de sécurité pour apprendre à mieux développer des applications web
  • Comprendre les règles principales de développement sécurisé
  • Comprendre les principaux éléments de configuration des services LAMP afin de mieux protéger les applications

Programme

1. Révisions : le protocole HTTP

  • HTTP/1.0 HTTP/1.1 
  • codes HTTP (200,404,302,301,503,500,100,...)
  • Proxy et reverse proxy caches
  • Tunneling HTTP
  • Authentification HTTP
  • Cookies et Sessions
  • GET vs POST 
  • Entêtes spécifiques (Vary, Content-Lenght, Content-Encoding, Mime, etc.)
  • HTTPS : HTTP over TLS
  • Autres protocoles : DNS et TCP/IP

2. Apache  

  • Portée de la configuration : VirtualHosts (IP et Noms), Directory, Location 
  • mod_rewrite : les bases 
  • Les mpm : prefork, worker, event 
  • Exemples de configuration  

3. Nginx 

4. LAMP 

  • Linux - Apache - PHP - MySQL
  • Architectures classiques, séparation n-tiers, caches, montée en charge 
  • PHP, mod_php ou php-fpm 
  • Cloisonnements de configuration 
  • Ajax : Json, jsonp, XMLHttpRequests 

5. Analyser les failles 

  • CVE 
  • Vecteurs d'attaque, vulnérabilités, impacts et exploitations 
  • Évaluation des risques 

6. Étude Théorique du TOP-10 OWASP

  • Injections - Sessions et Authentification
  • Cross Site Scripting - XSS
  • Références Directes non sécurisées à un objet
  • Mauvaise configuration de sécurité
  • Exposition de données sensibles
  • Manque de contrôle d'accès fonctionnel
  • Falsification de requêtes interdites (CSRF)
  • Utilisations de composants vulnérables
  • Redirections et renvois non validés

7. Autres failles importantes 

  • Déni de Service 
  • Protection de la vie privée 
  • Fuite d'information 
  • XXE : XML external Entity Processing 
  • Clickjacking 

8. Étude pratique du top-10 OWASP

  • Cas pratiques sur une application minimale PHP 
    • Injections HTML 
    • Injections JavaScript
    • Injections SQL 
    • CSRF 
    • Open redirect 
    • Escalade de privilèges
    • Information disclosure
    • DOS 
    • Cache poisonning 

9. Principes de sécurisations 

  • Robustesse et Rigueur 
  • KISS 
  • Validation des Entrées, Filtrage des Sorties 
  • Sécurité en profondeur

10. Cas pratique

  • Corrections de l'application
  • Blindages de configuration
    • Apache
    • Nginx
    • PHP 
    • MySQL/PostgreSQL 
    • mod_security : exemples.
    • Entêtes HTTP (X-Frame-Options, Content-Security-Policy, ...)

11. Retours sur les points clefs 

  • Authentification
    • Stockage 
    • Complexité des mots de passe   
    • Authentification multi-facteurs   
    • Transmission de mots de passe   
    • NTLM/CAS/Oauth/OpenID/SAML 
  • XSS  
    • Types d'XSS (Dom-based, reflected, etc)   
    • Techniques d'obfuscation avancées 
  • Injections SQL   
    • time-based, blind injections  
    • Injection de second ordre 

12. La sécurité d'un point de vue plus large

  • Social engineering
  • Procédures humaines 
  • Sécurité physique 
  • Tolérance aux pannes, backups 
  • Supervision 
  • Détection d'intrusion

Sessions (Toulouse, Nantes, Paris)

  • du 07 au 09 nov.
    Nantes, Paris

Nous contacter

Public

  • Développeurs Web
  • Architectes Web

Pré-requis

  • Connaissances de PHP (niveau simple)
  • Connaissances des commandes UNIX de base
  • Connaissances des technologies des applications web (JavaScript, CSS et HTML)

Ces pré-requis seront contrôlés et validés sous forme d’entretien téléphonique réalisé au plus tard 2 semaines avant la formation.

En cas de non adéquation, des solutions alternatives seront proposées.

Durée

3 jour(s) soit 21 heures

Prix

1500 € par personne

Moyens pédagogiques et techniques

  • les supports de cours (slides) seront disponibles en ligne et distribués en début de formation (à l'aide d'un lien vers notre outil interne ou d'une version numérisée), puis fournis au format électronique à la fin de la formation

  • une salle de formation équipée d'une connexion Internet, d'un vidéoprojecteur, paperboard...

  • un ordinateur par stagiaire avec un système d'exploitation installé et les outils nécessaires

Modalités de suivi de l'exécution du programme

  • durant la formation : basé sur la pratique tout en alternant la théorie suite à des mises en situations qui permettent d'analyser concrètement les problèmes rencontrés, sous forme de travaux pratiques corrigés avec l’expert-formateur

  • en fin de formation : évaluation à chaud sur l'atteinte des objectifs pédagogiques sous forme de tour de table et de test de connaissances, d'exercices, de QCM

Moyens d'encadrement

  • Formation assurée par un DevOps expert en sécurité Web