Jour 1
Présentation des menaces, vulnérabilités des applications Web
Présentation des différents efforts de standardisation de la terminologie liée à la sécurité
OWASP top 10, Zero Trust, Sécurité par design, OWASP ASVS
Failles applicatives : injection, protection d'URL, faille de référence, stockage non sécurisé, Broken Object Level Authorization (BOLA)
Attaques côté client : Cross Site Scripting (XSS), gestion de session et authentification, attaque CSRF, Phishing…
Failles de configuration : attaques sur les configurations standard
Attaques de type DDOS
Les dangers spécifiques des applications modernes (SPA, API Rest/GraphQL, Framework JS)Travaux pratiquesObjectifs : Découvrir les attaques les plus classiques du Web
Comprendre comment mettre en place une attaque pour s’en protéger
Savoir identifier les failles de sécurité les plus courantes
Description : Mise en place d’une attaque : Cross Site Scripting
Exploiter une faille sur le frontal http
Contourner une authentification par injection de requête SQL
Analyser un site web à l’aide de l’outil OWASP ZAPTechnologies liées à la sécurité
Firewalls, panorama des outils, techniques de base réseaux
Filtres des requêtes HTTP
Empreinte de message, les algorithmes SHA-x et MD5, les algorithmes réputés comme cassés
Signature numérique, Clé publique/ clé privée, Coffre à clé et coffre de confiance, Autorités de certification
Chiffrement de données, les algorithmes AES et RSA
Protocoles TLS 1.2 et 1.3, PKI, certificats X509,
Techniques d'authentification HTTP, authentification par certificat
CI/CD DevSecOps (SAST, DAST, …)
IA défensive/offensive, Machine learning pour la détection d’anomalieTravaux pratiquesObjectifs : Comprendre comment les technologies de sécurité sont mises en place
Observer le comportement d’un site web sécurisé
Description : Installation et utilisation d’un analyseur de trame réseau
Utilisation d’un proxy d’analyse httpJour 2Sécuriser les applications Web
Protections basiques : Re-post des données, Time-out et déconnexion, Masquer les URL, Validation des données
Usurpation d'identité : Cookies et certificats numériques, Session ID et jeton de transaction, Détournement
Se protéger des attaques client : XSS ou Cross Site Scripting, Utilisation des références directes, CSRF ou Cross Site Request Forgery, Sécurité d'accès au SGBD, SQL Injection, Utilisation du JavaScript, Échappement des tags HTML
Protections contre les attaques de force brute, Liste de contrôle d'accèsTravaux pratiquesObjectifs : Comprendre l’impact du chiffrement sur le fonctionnement d’un serveur Web
Savoir déployer un protocole de chiffrement
Description : Mise en œuvre de TLS sur nginx et Apache
Simuler une attaque sur les flux HTTPS avec mitmproxy et betterca
Sécuriser un frontal Web (Apache et nginx)Sécuriser les services Web
Principes de fonctionnement : SOAP, REST, gRPC
Principes de sécurisation : authentification, autorisation, confidentialité et intégrité
Mise en place de la sécurisation : OAUTH, SAML, Token, Web Services Security (WS-Security, WSS), …Travaux pratiquesObjectifs : Comprendre les différences entre les implémentations de WebService
Savoir identifier et implémenter les mécanismes de sécurité des WebService
Description : Construire une WebAPI respectant les bonnes pratiques
Mettre en place une authentification OAUTH sur des services WebJour 3Sécuriser les applications mobiles
Écosystème iOs vs Android, contraints spécifiques aux mobiles
Typologie des menaces OWASP Mobile Top 10
Bonnes pratiques (Chiffrement stockage, TLS, Authentification multi-facteurs, …)
Sécuriser la chaîne Dev & la publicationTravaux pratiquesObjectif : Apprendre à détecter les vulnérabilités dans une app mobile et à prendre des contre-mesures
Description : Analyse d’une application mobile vulnérable, Audit avec MobSF, Évaluation du stockage de données sensibles, Observation des flux réseau avec mitmproxy, Pinning de certificat, Obfuscation d’une applicationTester, auditer et surveiller la sécurité applicative
Typologie des tests de sécurité : boîte noire, grise, blanche
Introduction au pentest applicatif : étapes, éthique, périmètre
Analyse dynamique et statique (DAST/SAST), DevSecOps
Veille sur les vulnérabilités (CVEs, exploit-db, mailing lists, RSS)
Déclaration et gestion des incidents : politique, journalisation, alerting
Utilisation d’outils : Burp Suite, OWASP ZAP, Nikto, MobSF
La sécurité à l’ère de l’IA
IA défensive – détection d'intrusions, modèle supervisé ou non, DeepLearning
Mise en place de honeypots intelligents, Anti-spoofing basé IA, Apprentissage adversarial
L’offre en outillage (Elastic Security, Darktrace, Honeyd, …)Travaux pratiquesObjectifs : Comprendre comment auditer la sécurité d’une application à l’aide d’outils spécialisés. Apprendre à interpréter un rapport de vulnérabilités. Découvrir les bonnes pratiques de gestion des incidents de sécurité
Description : Utilisation de OWASP ZAP pour auditer une application web volontairement vulnérable. Classification des failles et recommandations de correction. Analyses de logs avec Elastic Security
