- Référence : SSAW
- Durée : 3 jours (21h)
- Lieu : Au choix. À distance ou en présentiel, à Paris ou en Régions
1995€ HT
Choisir une date et RéserverFormation Sécurité des applications pour les développeurs
4.4 sur 5 étoiles
5 étoiles
4 étoiles
3 étoiles
2 étoiles
1 étoile
Durée
3 jours
Niveau
Intermédiaire
Classe à distance
Possible
Vous pouvez suivre cette formation en direct depuis votre domicile ou votre lieu de travail. Plus d'informations sur notre solution de classe à distance...
Référence
SSAW
Éligible CPF
Non
Cette formation dresse un panorama concret des menaces du web. Elle détaille aussi bien les types d'attaques que peut subir une application que les failles les plus courantes des configurations serveurs ou des applications déployées.
Le cours se concentre également sur les technologies et méthodologies permettant de se protéger, ainsi que sur les outils permettant de contrôler la sécurité des applications.
La formation s’attache enfin à vous communiquer les « bonnes pratiques » liées au développement sécurisé d’applications.
Objectif opérationnel :
Connaître les principales menaces de sécurité pesant sur les applications et savoir mettre en œuvre les bonnes pratiques de développement pour les éviter.
Objectifs pédagogiques :
Concrètement, à l'issue de cette formation Sécurité développement web, vous saurez :
- Connaître les différents types de menaces et vulnérabilités affectant les applications web
- Connaître les technologies liées à la sécurité des applications (chiffrement, protocoles, certificats…)
- Savoir mettre en place une authentification sécurisée des utilisateurs
- Savoir mettre en place la sécurisation des flux avec SSL/TLS
- Être capable de contrôler la sécurité des applications avec des tests d’intrusion
- Savoir implémenter la sécurité au sein d’une application mobile
Public :
Ce cours Sécurité développement web s’adresse principalement aux développeurs et administrateurs réseaux/systèmes chargés d’implémenter et de superviser la sécurité au sein d’une application web. Les participants souhaitent acquérir une compréhension globale des différentes menaces (code, serveur, protocole) pouvant affecter leurs applications afin d’ajuster leurs développements en conséquence, effectuer une veille stratégique et réaliser des audits et tests d’intrusion.
Prérequis :
Les participants à cette formation Sécurité développement web connaissent nécessairement un langage de programmation (Java, C#, C++) et possèdent une culture Web solide (HTML, formulaire, serveur web, base de données). Sensibilisé aux enjeux majeurs de sécurité web, le public visé dispose d’un bagage technique suffisamment solide pour identifier les failles potentielles au niveau du code, de la configuration des serveurs ou pour savoir déchiffrer un rapport d’audit.
J1
Typologie des menaces selon le WASC, le top 10 des menaces selon OWASP
Failles applicatives : injection, protection d'URL, faille de référence, stockage non sécurisé
Attaques côté client : Cross Site Scripting (XSS), gestion de session et authentification, attaque CSRF, Phishing…
Failles de configuration : attaques sur les configurations standard
Attaques de type DDOS
Les dangers spécifiques du Web 2.0AtelierObjectifs :
Découvrir les attaques les plus classiques du Web
Comprendre comment mettre en place une attaque pour s’en protéger
Savoir identifier les failles de sécurité les plus courantes
Description :
Mise en place d’une attaque : Cross Site Scripting
Exploiter une faille sur le frontal http
Contourner une authentification par injection de requête SQL
Analyser un site web à l’aide de l’outil OWASP ZAP
Filtres des requêtes HTTP
Empreinte de message, les algorithmes SHA-x et MD5
Signature numérique, Clé publique/ clé privée, Coffre à clé et coffre de confiance, Autorités de certification
Chiffrement de données, les algorithmes AES et RSA
Protocoles SSL v2/v3 et TLS, PKI, certificats X509,
Techniques d'authentification HTTP, authentification par certificatAtelierObjectifs :
Comprendre comment les technologies de sécurité sont mises en place
Observer le comportement d’un site web sécurisé
Description :
Installation et utilisation d’un analyseur de trame réseau
Utilisation d’un proxy d’analyse httpJ2
Usurpation d'identité : Cookies et certificats numériques, Session ID et jeton de transaction, Détournement
Se protéger des attaques client : XSS ou Cross Site Scripting, Utilisation des références directes, CSRF ou Cross Site Request Forgery, Sécurité d'accès au SGBD, SQL Injection, Utilisation du JavaScript, Échappement des tags HTML
Protections contre les attaques de force brute, Liste de contrôle d'accèsAtelierObjectifs :
Comprendre comment le chiffrement modifie le comportement d’un serveur Web
Savoir déployer un protocole de chiffrement
Description :
Mise en œuvre de TLS sur IIS et Apache
Simuler une attaque sur les flux HTTPS avec sslstrip et sslsnif
Sécuriser un frontal Web (Apache et IIS)
Principes de sécurisation : authentification, autorisation, confidentialité et intégrité
Mise en place de la sécurisation : OAUTH, SAML, Token, Web Services Security (WS-Security, WSS), …AtelierObjectifs :
Comprendre les différences entre les implémentations de WebService
Savoir identifier et implémenter les mécanismes de sécurité des WebService
Description :
Construire une WebAPI respectant les bonnes pratiques
Mettre en place une authentification OAUTH sur des services WebJ3
Organiser une veille technologique efficace
Déclaration des incidents de sécuritéDémonstrationMise en œuvre d'un serveur Web avec certificat X509 EV : analyse des échanges protocolaires
Exploitation d'une faille de sécurité critique sur le frontal HTTP
Attaque de type HTTPS StrippingGestion de la sécurité mobileComposants d’un système d’exploitation mobile
Risques auxquels sont exposés les appareils mobiles
Les principales menaces pesant sur les appareils mobiles
Étudier les outils de piratage des appareils mobiles
Méthode pour sécuriser les environnements mobilesAtelierObjectifs :
Savoir implémenter les bonnes pratiques de sécurité d’une application mobile
Description :
Parcourir et personnaliser les composants de sécurité d’une application mobile iOS
Parcourir et personnaliser les composants de sécurité d’une application mobile Android
Présentation des menaces, vulnérabilités des applications Web
Présentation des différents efforts de standardisation de la terminologie liée à la sécuritéTypologie des menaces selon le WASC, le top 10 des menaces selon OWASP
Failles applicatives : injection, protection d'URL, faille de référence, stockage non sécurisé
Attaques côté client : Cross Site Scripting (XSS), gestion de session et authentification, attaque CSRF, Phishing…
Failles de configuration : attaques sur les configurations standard
Attaques de type DDOS
Les dangers spécifiques du Web 2.0AtelierObjectifs :
Découvrir les attaques les plus classiques du Web
Comprendre comment mettre en place une attaque pour s’en protéger
Savoir identifier les failles de sécurité les plus courantes
Description :
Mise en place d’une attaque : Cross Site Scripting
Exploiter une faille sur le frontal http
Contourner une authentification par injection de requête SQL
Analyser un site web à l’aide de l’outil OWASP ZAP
Technologies liées à la sécurité
Firewalls, panorama des outils, techniques de base réseauxFiltres des requêtes HTTP
Empreinte de message, les algorithmes SHA-x et MD5
Signature numérique, Clé publique/ clé privée, Coffre à clé et coffre de confiance, Autorités de certification
Chiffrement de données, les algorithmes AES et RSA
Protocoles SSL v2/v3 et TLS, PKI, certificats X509,
Techniques d'authentification HTTP, authentification par certificatAtelierObjectifs :
Comprendre comment les technologies de sécurité sont mises en place
Observer le comportement d’un site web sécurisé
Description :
Installation et utilisation d’un analyseur de trame réseau
Utilisation d’un proxy d’analyse httpJ2
Sécuriser les applications Web
Protections basiques : Re-post des données, Time-out et déconnexion, Masquer les URL, Validation des donnéesUsurpation d'identité : Cookies et certificats numériques, Session ID et jeton de transaction, Détournement
Se protéger des attaques client : XSS ou Cross Site Scripting, Utilisation des références directes, CSRF ou Cross Site Request Forgery, Sécurité d'accès au SGBD, SQL Injection, Utilisation du JavaScript, Échappement des tags HTML
Protections contre les attaques de force brute, Liste de contrôle d'accèsAtelierObjectifs :
Comprendre comment le chiffrement modifie le comportement d’un serveur Web
Savoir déployer un protocole de chiffrement
Description :
Mise en œuvre de TLS sur IIS et Apache
Simuler une attaque sur les flux HTTPS avec sslstrip et sslsnif
Sécuriser un frontal Web (Apache et IIS)
Sécuriser les services Web
Principes de fonctionnement : SOAP, REST, gRPCPrincipes de sécurisation : authentification, autorisation, confidentialité et intégrité
Mise en place de la sécurisation : OAUTH, SAML, Token, Web Services Security (WS-Security, WSS), …AtelierObjectifs :
Comprendre les différences entre les implémentations de WebService
Savoir identifier et implémenter les mécanismes de sécurité des WebService
Description :
Construire une WebAPI respectant les bonnes pratiques
Mettre en place une authentification OAUTH sur des services WebJ3
Contrôler la sécurité des applications Web
Test d'intrusion, audit de sécurité, scanners de vulnérabilitésOrganiser une veille technologique efficace
Déclaration des incidents de sécuritéDémonstrationMise en œuvre d'un serveur Web avec certificat X509 EV : analyse des échanges protocolaires
Exploitation d'une faille de sécurité critique sur le frontal HTTP
Attaque de type HTTPS StrippingGestion de la sécurité mobileComposants d’un système d’exploitation mobile
Risques auxquels sont exposés les appareils mobiles
Les principales menaces pesant sur les appareils mobiles
Étudier les outils de piratage des appareils mobiles
Méthode pour sécuriser les environnements mobilesAtelierObjectifs :
Savoir implémenter les bonnes pratiques de sécurité d’une application mobile
Description :
Parcourir et personnaliser les composants de sécurité d’une application mobile iOS
Parcourir et personnaliser les composants de sécurité d’une application mobile Android
Les travaux pratiques abordent les sujets suivants :
- Injections SQL
- Vols de sessions (récupération de cookies)
- Injections JavaScript (via un formulaire de forum)
- Chiffrage/déchiffrage symétrique et asymétrique en Java
- Atelier sur les certificats (création d’une autorité de certificat, comment on signe le certificat ? comment on s’en sert pour s’authentifier et faire du https ?)
Dates et lieux
1
2
1
2
Votre formation prise en charge jusqu'à 100% des coûts pédagogiques ! *
Depuis 2011, Atlas (ex-Fafiec) a sélectionné PLB Consultant pour vous proposer les meilleures formations autour du développement objet avec .NET, Java et C++.
- Sessions inter-entreprise sur Paris en province.
- Sessions intra-entreprise sur toute la France.
* jusqu'à 100% des coûts pédagogiques selon votre branche d'activité dans la limite des fonds mutualisés dédiés aux actions collectives et en application des critères de prise en charge en vigueur (cf conditions détaillées sur le site d'Atlas)
Avis des participants à la formation Sécurité des applications pour les développeurs
Les avis figurant ci-dessous sont issus des fiches d’évaluation que remplissent les participants à la fin de la formation. Ils sont ensuite publiés automatiquement si les personnes ont explicitement accepté que nous les diffusions.
AL
4/5
Mon avis sur le contenu du stage :
"Beaucoup de notion, quelque cas concret en début de première session. Pourrait être fourni de cas plus complexe et récent ou s'adapté au framework des personne de la formation Pour les TPs, ce serait plus intéressant d'être plus libre dans un cadre déjà préparé et un peu plus guidé et parfois un peu trop copier coller"
Ce que j'ai le plus apprécié :
"Bon communicant, essaye d'apporté du dynamisme au présentation"
Ce que j'ai le moins apprécié :
"Dommage que le son soit pertubé par des grésillements constant pendant de longue période (soucis essayé plusieurs fois d'être réglé mais sans succès)"
ARTIGNAN Guillaume
5/5
Mon avis sur le contenu du stage :
"Je possèdais déjà pas mal de connaissances évoquées durant ce cours. Présentation sympa des outils."
Mon avis sur le formateur :
"Le formateur est bon, il donne de bonne explications. Sur un sujet pas évident à faire pratiquer. Le TP Web Goat est sympa. "
Ce que j'ai le plus apprécié :
"- Formateur à l'écoute - Formation qui s'adapte bien aux développeurs"
Ce que j'ai le moins apprécié :
"- Légèrement trop de XSS - J'aurais aimé un peu plus d'architecture réseaux (même si c'est pas vraiment dans le plan)"
LT
4/5
Mon avis sur le formateur :
"Très bon animateur qui s'en sort avec brio malgré les conditions difficiles de la formation en visio."
Ce que j'ai le plus apprécié :
"Pas de soucis pour la connexion à la machine distante. Animateur motivé et passionné."
Ce que j'ai le moins apprécié :
"Changer de profil pour teams. On aurait pu faire la formation avec notre propre teams."
Thomas
5/5
Mon avis sur le contenu du stage :
"Apporte une bonne vision de la problématique et parle des cas concrets"
Mon avis sur le formateur :
"Respect du timing : ok"
Ce que j'ai le plus apprécié :
"Qualité de l'intervenant"
Ce que j'ai le moins apprécié :
"Quelques passages inutiles (rappels sur xml, json...)"
SL
5/5
Mon avis sur le contenu du stage :
"contenu intéressant j'aurai préferé plus de pratique sinon super formation."
Mon avis sur le formateur :
"Formateur excellent et très compétent "
Mon avis sur la salle de formation :
"Super lieux"
Ce que j'ai le plus apprécié :
"petit dej"
GN
5/5
Mon avis sur le contenu du stage :
"Support très bien et un bon niveau. Peut-être qu'un peu plus de pratique aurait été bien par alternance."
Ce que j'ai le plus apprécié :
"ZAP, c'était intéressant de pratiquer."
Ce que j'ai le moins apprécié :
"VM un peu lente, peut etre dû au réseau."
DN
5/5
Mon avis sur le contenu du stage :
"Rien à redire sur le contenu, c'était ce qui était attendu"
Mon avis sur le formateur :
"Très éloquent et pédagogue"
Ce que j'ai le plus apprécié :
"Réactivité en cas de problème technique"
TG
4/5
Mon avis sur le contenu du stage :
"Points positifs : Les travaux pratiques et la mise en pratique de correction dans le code."
Ce que j'ai le plus apprécié :
"La mise en pratique"
Ce que j'ai le moins apprécié :
"Trop de temps passé sur la cryptographie"
JAE
5/5
Mon avis sur le formateur :
"Il nous a fourni plusieurs outils avec des démonstrations."
Ce que j'ai le plus apprécié :
"Une bonne organisation."
Ce que j'ai le moins apprécié :
"Le nombre des personnes dans la formation."
LS
4/5
Mon avis sur le contenu du stage :
"Formation très intéressante et très riche. La partie spécifique Java était un peu rapide."
Mon avis sur le formateur :
"Formateur très agréable et disponible dans un contexte pas évident (Formation à distance)."
AOS
4/5
Ce que j'ai le plus apprécié :
"La qualité des explications"
Ce que j'ai le moins apprécié :
"Des difficultés rencontrés pour la connexion à l'environnement des travaux pratiques"
OQ
4/5
Mon avis sur le contenu du stage :
"On a vu beaucoup de choses en 3 jours mais cela aurait mérité plus de temps."
Mon avis sur le formateur :
"Aucun problème sur l'animateur"
DK
4/5
Mon avis sur le contenu du stage :
"Le format "2 jours" impose une certaine forme de concision."
Mon avis sur le formateur :
"Bonnes interactions intervenant/apprenants."
SOW Arona
5/5
Mon avis sur le formateur :
"animateur très compétent sur le sujet"
Ce que j'ai le plus apprécié :
"espace détente incroyable"
MS
4/5
Mon avis sur le contenu du stage :
"Bon, mais pas adapté à mes besoins. J'ai fait le mauvais choix pour moi."
MA
4/5
Mon avis sur le contenu du stage :
"Le contenue est trop dense pour seulement 2 jours"
LRE
4/5
Mon avis sur le contenu du stage :
"Les supports sont un peu flous"
Ces formations peuvent aussi vous intéresser :
Formations Informatique
et Management
en ligne à ce jour
+
Stagiaires dans nos salles
de cours sur
l'année
%
De participants satisfaits
ou très satisfaits de nos
formations
Formateurs experts
validés par
PLB
