• éligibleCPF

Formation Sécurité des applications Web pour les développeurs

4.5 sur 5 étoiles

5 étoiles
45%
4 étoiles
54%
3 étoiles
0%
2 étoiles
0%
1 étoile
0%
Voir les 11 avis
(11 avis)
Durée 2 jours
Niveau Intermédiaire
Classe à distance
Possible

Vous pouvez suivre cette formation en direct depuis votre domicile ou votre lieu de travail. Plus d'informations sur notre solution de classe à distance...

Référence SSAW
Éligible CPF Code 242878
Certification Titre professionnel Développeur web et web mobile

Cette formation dresse un panorama concret des menaces du Web. Elle détaille aussi bien les types d'attaques que peut subir une application web que les failles les plus courantes des configurations serveurs ou des applications déployées. Le cours se concentre également sur les technologies et méthodologies permettant de se protéger, ainsi que sur les outils permettant de contrôler la sécurité des applications.
La formation s’attache également à vous communiquer les « bonnes pratiques » liées au développement sécurisé d’applications.

Objectifs opérationnels:

  • Maîtriser les concepts fondamentaux de la sécurité des applications

Objectifs Pédagogiques:

Concrètement, à l'issue de cette formation vous saurez:

  • Comprendre l’environnement réseau des applications
  • Savoir identifier les vulnérabilités les plus courantes d’une application web
  • Connaître les bonnes pratiques pour un développement sécurisé
  • Savoir mettre en place une authentification sécurisée des utilisateurs
  • Savoir mettre en place la sécurisation des flux avec SSL/TLS
  • Connaître les principes d’utilisation d’un reverse proxy pour la mise en œuvre SSL/TLS, l’authentification, etc.
  • Savoir tester si une application a été sécurisée au bon niveau d’exigences

Public :

Cette formation s'adresse à toute personne désireuse de protéger ses applications web d'attaques potentielles. Elle concerne plus particulièrement les personnes directement impliquées dans le développement, la maintenance ou l'audit d'applications Web, tels que les développeurs d'applications web, le personnel chargé de l'Assurance Qualité sur les logiciels, les testeurs et les auditeurs de la sécurité des applications web, ainsi que les administrateurs de la sécurité.

Prérequis :

Connaître un langage de programmation (Java, C# ou C++) et disposer d’une culture Web (HTML, formulaire, serveur web, base de données).

Présentation des menaces, vulnérabilités des applications Web

Présentation des différents efforts de standardisation de la terminologie liée à la sécurité
Typologie des menaces selon le WASC, le top 10 des menaces selon OWASP
Failles applicatives : injection, protection d'URL, faille de référence, stockage non sécurisé
Attaques côté client : Cross Site Scripting (XSS), gestion de session et authentification, attaque CSRF, Phishing…
Failles de configuration : attaques sur les configurations standard
Attaques de type DDOS
Les dangers spécifiques du Web 2.0

Technologies liées à la sécurité

Firewalls, panorama des outils, techniques de base réseaux
Filtres des requêtes HTTP
Empreinte de message, les algorithmes SHA-x et MD5
Signature numérique, Clé publique/ clé privée, Coffre à clé et coffre de confiance, Autorités de certification
Chiffrement de données, les algorithmes AES et RSA
Protocoles SSL v2/v3 et TLS, PKI, certificats X509,
Techniques d'authentification HTTP, authentification par certificat

Sécuriser les applications Web

Protections basiques : Re-post des données, Time-out et déconnexion, Masquer les URL, Validation des données
Usurpation d'identité : Cookies et certificats numériques, Session ID et jeton de transaction, Détournement
Se protéger des attaques client : XSS ou Cross Site Scripting, Utilisation des références directes, CSRF ou Cross Site Request Forgery, Sécurité d'accès au SGBD, SQL Injection, Utilisation du JavaScript, Échappement des tags HTML
Protections contre les attaques de force brute, Liste de contrôle d'accès

Contrôler la sécurité des applications Web

Test d'intrusion, audit de sécurité, scanners de vulnérabilités
Organiser une veille technologique efficace
Déclaration des incidents de sécurité

Démonstration

Mise en œuvre d'un serveur Web avec certificat X509 EV : analyse des échanges protocolaires
Exploitation d'une faille de sécurité critique sur le frontal HTTP
Attaque de type HTTPS Stripping

Gestion de la sécurité mobile

Composants d’un système d’exploitation mobile
Risques auxquels sont exposés les appareils mobiles
Les principales menaces pesant sur les appareils mobiles
Étudier les outils de piratage des appareils mobiles
Méthode pour sécuriser les environnements mobiles.

Les travaux pratiques abordent les sujets suivants :

  • Injections SQL
  • Vols de sessions (récupération de cookies)
  • Injections JavaScript (via un formulaire de forum)
  • Chiffrage/déchiffrage symétrique et asymétrique en Java
  • Atelier sur les certificats (création d’une autorité de certificat, comment on signe le certificat ? comment on s’en sert pour s’authentifier et faire du https ?)

Cette formation fait partie du cursus de préparation au bloc de compétences N°2 "Développer la partie back-end d'une application web ou web mobile en intégrant les recommandations de sécurité" du Titre professionnel "Développeur web et web mobile" délivré par le Ministère du Travail. 

La préparation à ce bloc de compétences et/ou à ce titre professionnel peut être réalisée en mobilisant votre CPF, dans le cadre d’une reconversion ou d’une POE.

Cette formation peut être financée dans le cadre du CPF sur MonCompteFormation.

Votre formation sécurité prise en charge à 100% ! *

Depuis 2011, Atlas (ex-Fafiec) a sélectionné PLB Consultant pour vous proposer les meilleures formations autour du développement objet avec .NET, Java et C++.

Sessions inter-entreprise sur Paris et Lille.
Sessions intra-entreprise sur toute la France.

*100% des coûts pédagogiques, offre valable dans la limite des fonds mutualisés dédiés aux actions collectives, en application des critères de prise en charge en vigueur (voir conditions détaillées sur le site d'Atlas)

Avis des participants à la formation Sécurité des applications Web pour les développeurs

Note moyenne de 4.5/5(11)

Les avis figurant ci-dessous sont issus des fiches d’évaluation que remplissent les participants à la fin de la formation. Ils sont ensuite publiés automatiquement si les personnes ont explicitement accepté que nous les diffusions.

LS
4/5

Mon avis sur le contenu du stage :

"Formation très intéressante et très riche. La partie spécifique Java était un peu rapide."

Mon avis sur le formateur :

"Formateur très agréable et disponible dans un contexte pas évident (Formation à distance)."

LT
4/5

Mon avis sur le formateur :

"Très bon animateur qui s'en sort avec brio malgré les conditions difficiles de la formation en visio."

Ce que j'ai le plus apprécié :

"Pas de soucis pour la connexion à la machine distante. Animateur motivé et passionné."

Ce que j'ai le moins apprécié :

"Changer de profil pour teams. On aurait pu faire la formation avec notre propre teams."

ARTIGNAN Guillaume
5/5

Mon avis sur le contenu du stage :

"Je possèdais déjà pas mal de connaissances évoquées durant ce cours. Présentation sympa des outils."

Mon avis sur le formateur :

"Le formateur est bon, il donne de bonne explications. Sur un sujet pas évident à faire pratiquer. Le TP Web Goat est sympa. "

Ce que j'ai le plus apprécié :

"- Formateur à l'écoute - Formation qui s'adapte bien aux développeurs"

Ce que j'ai le moins apprécié :

"- Légèrement trop de XSS - J'aurais aimé un peu plus d'architecture réseaux (même si c'est pas vraiment dans le plan)"

TG
4/5

Mon avis sur le contenu du stage :

"Points positifs : Les travaux pratiques et la mise en pratique de correction dans le code."

Ce que j'ai le plus apprécié :

"La mise en pratique"

Ce que j'ai le moins apprécié :

"Trop de temps passé sur la cryptographie"

AOS
4/5
Ce que j'ai le plus apprécié :

"La qualité des explications"

Ce que j'ai le moins apprécié :

"Des difficultés rencontrés pour la connexion à l'environnement des travaux pratiques"

DN
5/5

Mon avis sur le contenu du stage :

"Rien à redire sur le contenu, c'était ce qui était attendu"

Mon avis sur le formateur :

"Très éloquent et pédagogue"

Ce que j'ai le plus apprécié :

"Réactivité en cas de problème technique"

SOW Arona
5/5

Mon avis sur le formateur :

"animateur très compétent sur le sujet"

Ce que j'ai le plus apprécié :

"espace détente incroyable"

SL
5/5

Mon avis sur le contenu du stage :

"contenu intéressant j'aurai préferé plus de pratique sinon super formation."

Mon avis sur le formateur :

"Formateur excellent et très compétent "

Mon avis sur la salle de formation :

"Super lieux"

Ce que j'ai le plus apprécié :

"petit dej"

MA
4/5

Mon avis sur le contenu du stage :

"Le contenue est trop dense pour seulement 2 jours"

MS
4/5

Mon avis sur le contenu du stage :

"Bon, mais pas adapté à mes besoins. J'ai fait le mauvais choix pour moi."

Thomas
5/5

Mon avis sur le contenu du stage :

"Apporte une bonne vision de la problématique et parle des cas concrets"

Mon avis sur le formateur :

"Respect du timing : ok"

Ce que j'ai le plus apprécié :

"Qualité de l'intervenant"

Ce que j'ai le moins apprécié :

"Quelques passages inutiles (rappels sur xml, json...)"


Formations Informatique
et Management
en ligne à ce jour

+
Stagiaires dans nos salles
de cours sur
l'année

%
De participants satisfaits
ou très satisfaits de nos
formations


Formateurs experts
validés par
PLB