Manager dans la tempête et préparer l'avenir  
 
 
 
Home > Formations > Audit de la sécurité des sites WEB et bonnes pratiques OWASP
Audit de la sécurité des sites WEB et bonnes pratiques OWASP

Objectifs pédagogiques
 Parcours des Technologies Web et de toutes les Techniques Utilisées par les Hackers pour la Découverte et l’Exploitation des Failles de Sécurité des Applications WEB, Accompagnées par les Bons Remèdes et Directives Efficaces pour la Prévention.

Un bon développeur peut très bien comprendre les méthodes d’attaques utilisées par les Hackers, et donc développer en conséquence ses applications Web de manière plus sécurisée. Un bon responsable de sécurité prévenu d’un danger sur son site Web est plus vigilant et prêt à agir pour protéger ses applications.
Cette formation est avant tout un parcours théorique détaillé des techniques utilisées par les hackers pour attaquer toute Application Web. Ce premier niveau déjà, vous permet de saisir, non-seulement les technologies et vulnérabilités du Web, mais aussi, les méthodes du hacking Web, accompagnées par les bons conseils de sécurité et les mesures efficaces pour prévenir contre ces attaques.

Publics concernés
Techniciens et Ingénieurs en Informatique et Réseaux
Contexte : Opérateurs, ISP et Entreprises

Pré-requis
Notions WEB, SQL, Sécurité, Linux, Windows.

Méthodes pédagogiques
Vidéo Projecteur
Supports de Cours
Bloc Notes et accessoires

Durée
Session de (3) cinq journées.
Horaire : Matin de 09H à 12H15 et Après-midi de 13H30 à 16H45 avec 1 pause de 15mn le matin et une pause 15mn l’après-midi.

Programme des Trois journées

Jour 1
Module 1. L’Insécurité des Applications Web
- Evolution des Applications Web.
- La Sécurité des Applications Web (Le Coeur du Problème, Les Facteurs Clés).
- Le Nouveau Périmètre de Sécurité
- Le Futur de la Sécurité des Applications Web.

Module 2. Les Mécanismes de Défense Essentiels
- Contrôle des Accès (Authentification, Session, Contrôle d’Accès)
- Contrôle des Entrées
- Contrôle des Attaquants
- Administration de l’Application

Module 3. Les Technologies des Apllications Web
- Aperçu sur le Protocole HTTP (Requests, Responses, Methods, URLs, Headers, Cookies, Status Codes, https, proxies, authentication)
- La Fonctionnalité du Web
- L’Encodage (URL, Unicode, HTML, Base64, Hex)

Module 4. Connaissance de l’Application
- Enumération du Contenu et des Fonctionnalités
- Analyse de l’Application

Module 5. Contournement des Contrôles au Niveau Client
- Transmission de Donnée via le Client
- Sécuriser les Données Client

Module 6. Attaques de l’Authentification
- Les Technologies d’Authentification
- Les Failles Conceptuelles dans les Mécanismes d’Authentification
- Sécuriser l’Authentification

Module 7. Attaques sur la Gestion des Sessions
- Le Besoin des Sessions
- Les Faiblesses
- Sécuriser la Gestion des Sessions

Module 8. Attaques sur le Contrôle des Accès
- Les Vulnérabilités Communes
- Les Attaques sur le Contrôle d’Accès
- Sécuriser le Contrôle d’Accès

Jour 2
Module 9. Injection de Code
- “SQL Injection”
- Aperçu sur d’autres techniques d’injection de Code
- Prévention

Module 10. Exploitation du “Path Traversal”
- Les Vulnérabilités Communes
- Prévention Contre Les Vulnérabilités « Path Traversal »

Module 11. Attaques sur la Logique Applicative
- La Nature des Failles Logiques
- Les Failles Concrètes Aujourd’hui
- Eviter les Failles Logiques

Module 12. Attaques d’Autres Utilisateurs
- “Cross-Site Scripting”
- Aperçu sur d’autres Techniques d’Exploitation
- Prévention

Module 13. Bespoke Attacks
- “Bespoke Automation”
- “Burp Intruder”

Module 14. Exploitation des Informations
- Recueillir les informations publiées
- Prévention Contre la Perte d’Informations

Module 15. Attaques d’Applications Compilées
- “Buffer over Flow Vulnerabilities”
- Autres Vulnérabilités
- Sécuriser les Applications Compilées

Module 16. Attaques de l’Architecture
- Architecture par Niveau
- Sécuriser l’Architecture

Module 17. Attaques du Serveur Web
- Vulnérabilités des serveurs WEB
- Sécuriser le serveur WEB

Jour 3
Module 18. Retrouver des Vulnerabilités dans le Code Source
- Approches dans les Analyses de Codes
- Common Vulnerabilities
- Outils de Navigation dans les Codes

Module 19. Le “ToolKit” du Hacker
- “Web Browsers”
- “Integrated Testing Suites”
- “Vulnerability Scanners”
- Autres outils

Module 20. Méthodologie du Hacker
- Directives et démarches Générales
- Conclusion

Module 21. Les Meilleures Pratiques OWASP 2010
- Le Projet OWASP
- Les TOP 10 OWASP 2010
- OWASP Testing Guide
- OWASP Code Review Guide

Module 22. Les Meilleures Pratiques OpenSAMM
- Le Projet OpenSAMM
- Démarche OpenSAMM

Pour toute information complémentaire, nous contacter.

Top

Accueil | L'Entreprise | Services | Évènements | Contacts | Copyright © 2002 - 2010 NT2S. Tous droits réservés. |