La formation

Hy-Search,

Un ensemble de services gratuits pensés pour les Entreprises

Aide à la recherche d'organismes de Formation et de Conseil
Pas le temps ? Nous vous aidons à sourcer et identifier vite les bons organismes de Formation et de Conseil.
Formation sur-mesure ou intra
Besoin d'une formation sur-mesure ou intra ? Parlons de votre besoin, nous vous accompagnons dans la définition de votre projet.

Informatique / Web / Digital

Formation en cybersécurité

Labels qualité
Intra
Prix : Nous contacter
Objectif pédagogique


Prendre connaissance des bonnes pratiques de développement permettant d’éviter de rendre une application vulnérable.
Installer, configurer et utiliser des outils permettant d’analyser vos applications

Programme détaillé

Jour 1

Introduction

  • Les technologies web, de nouveaux risques
  • Mythes et réalités
  • Statistiques et évolutions
  • Retour d'expérience sur les audits de sécurité

Architecture d'une application Web et vecteurs d’attaque

  • Architecture générale et évolutions
  • Avantages et faiblesses des navigateurs Web
  • Le serveur HTTP, fonctionnement, faiblesses
  • Les différents serveurs

Le protocole HTTP

  • Format des requêtes standards et malicieuses
  • Mécanismes d'authentification HTTP
  • Génération de requêtes HTTP
  • Découverte passive d'information

Travaux pratiques

  • Scan de ports / Fingerprint
  • Analyse des trames réseau.
  • Rejeu et injection de requêtes HTTP modifiées.

Jour 2

Vulnérabilités des applications Web

  • Les applications Web sont très exposées et sujettes aux attaques, pourquoi ?
  • Classement des risques majeurs selon l'OWASP, analyse
  • Les différentes attaques : Les attaques "Cross Site Scripting” (XSS) / Les attaques en injection / Les attaques sur les sessions / Exploitation de vulnérabilités sur le serveur web / Attaques sur les configurations standard
  • Les vulnérabilités des framework et CMS

Outils de détection et d’exploitation

  • Les différents scanners de vulnérabilités Web
  • Les outils d’analyse statique de code
  • Les outils d’analyse manuelle
  • Exploitation SQL
  • Brute force
  • Fuzzing

Travaux pratiques
Exploitation de failles sur une VM vulnérable.

Jour 3

Principe du développement sécurisé

  • Le budget
  • La sécurité dans un cycle de développement
  • Le rôle du code côté client
  • Le contrôle des données envoyées par le client
  • Les règles de développement à respecter.

Bonnes pratiques et contre-mesures

  • Authentification des utilisateurs et stockage des mots de passe : Comment stocker des mots de passe en BD ? / Quels algorithmes utiliser ? / Gérer la connexion
  • Chiffrement des flux avec SSL/TLS : Introduction à la cryptographie utilisée dans SSL/TLS. / Quelle autorité de certification choisir ?
  • Les tests : Intégration de tests de sécurité dans le développement / Réalisation de tests d’intrusion en interne / L'audit de sécurité

Travaux pratiques

  • Cassage de mots de passe
  • Durcissement des mots de passe
Prérequis et publics concernés

Connaissance en programmation et développement web

Méthodes pédagogiques utilisées

Travaux pratiques, présentation, mise en scène, forte interactivité avec l'assistance

Formateur

Formateur senior, intervenant en école privée et publique (calypt)

Programme de la formation

Télécharger

Tarif Hyperbolyk
Nous contacter