Accueil / Formations / Formation sécurité Web

Formation sécurité Web

Apprenez à mieux gérer la sécurité d'une application LAMP.

Objectifs

  • Comprendre les principales attaques de sécurité pour apprendre à mieux développer des applications web
  • Comprendre les règles principales de développement sécurisé
  • Comprendre les principaux éléments de configuration des services LAMP afin de mieux protéger les applications

Programme

1. Révisions : le protocole HTTP

  • HTTP/1.0 HTTP/1.1 
  • codes HTTP (200,404,302,301,503,500,100,...)
  • Proxy et reverse proxy caches
  • Tunneling HTTP
  • Authentification HTTP
  • Cookies et Sessions
  • GET vs POST 
  • Entêtes spécifiques (Vary, Content-Lenght, Content-Encoding, Mime, etc.)
  • HTTPS : HTTP over TLS
  • Autres protocoles : DNS et TCP/IP

2. Apache  

  • Portée de la configuration : VirtualHosts (IP et Noms), Directory, Location 
  • mod_rewrite : les bases 
  • Les mpm : prefork, worker, event 
  • Exemples de configuration  

3. Nginx 

4. LAMP 

  • Linux - Apache - PHP - MySQL
  • Architectures classiques, séparation n-tiers, caches, montée en charge 
  • PHP, mod_php ou php-fpm 
  • Cloisonnements de configuration 
  • Ajax : Json, jsonp, XMLHttpRequests 

5. Analyser les failles 

  • CVE 
  • Vecteurs d'attaque, vulnérabilités, impacts et exploitations 
  • Évaluation des risques 

6. Étude Théorique du TOP-10 OWASP

  • Injections - Sessions et Authentification
  • Cross Site Scripting - XSS
  • Références Directes non sécurisées à un objet
  • Mauvaise configuration de sécurité
  • Exposition de données sensibles
  • Manque de contrôle d'accès fonctionnel
  • Falsification de requêtes interdites (CSRF)
  • Utilisations de composants vulnérables
  • Redirections et renvois non validés

7. Autres failles importantes 

  • Déni de Service 
  • Protection de la vie privée 
  • Fuite d'information 
  • XXE : XML external Entity Processing 
  • Clickjacking 

8. Étude pratique du top-10 OWASP

  • Cas pratiques sur une application minimale PHP 
    • Injections HTML 
    • Injections JavaScript
    • Injections SQL 
    • CSRF 
    • Open redirect 
    • Escalade de privilèges
    • Information disclosure
    • DOS 
    • Cache poisonning 

9. Principes de sécurisations 

  • Robustesse et Rigueur 
  • KISS 
  • Validation des Entrées, Filtrage des Sorties 
  • Sécurité en profondeur

10. Cas pratique

  • Corrections de l'application
  • Blindages de configuration
    • Apache
    • Nginx
    • PHP 
    • MySQL/PostgreSQL 
    • mod_security : exemples.
    • Entêtes HTTP (X-Frame-Options, Content-Security-Policy, ...)

11. Retours sur les points clefs 

  • Authentification
    • Stockage 
    • Complexité des mots de passe   
    • Authentification multi-facteurs   
    • Transmission de mots de passe   
    • NTLM/CAS/Oauth/OpenID/SAML 
  • XSS  
    • Types d'XSS (Dom-based, reflected, etc)   
    • Techniques d'obfuscation avancées 
  • Injections SQL   
    • time-based, blind injections  
    • Injection de second ordre 

12. La sécurité d'un point de vue plus large

  • Social engineering
  • Procédures humaines 
  • Sécurité physique 
  • Tolérance aux pannes, backups 
  • Supervision 
  • Détection d'intrusion

Sessions (Toulouse, Nantes, Paris)

  • du 30 mai au 01 juin
    Nantes, Toulouse
  • du 07 au 09 nov.
    Nantes, Paris

Nous contacter

Public

  • Développeurs Web
  • Architectes Web

Pré-requis

  • Connaissances de PHP (niveau simple)
  • Connaissances des commandes UNIX de base
  • Connaissances des technologies des applications web (JavaScript, CSS et HTML)

Durée

3 jour(s)

Prix

1500 € par personne

Renseignements / Inscription

Contactez Anaël Boulier, notre responsable formation

 

Demande d'information