Sécurité des applications web

Objectifs

• Évaluer les risques internes et externes liés à l'utilisation d'Internet
• Identifier les différentes solutions pour mettre en oeuvre la sécurité d'un serveur Web
• Comprendre comment garantir la fiabilité et la confidentialité des données grâce aux différentes solutions sécurisantes
• Être capable de mettre en oeuvre une politique de sécurité fiable sur un serveur Apache ou IIS

Programme

Introduction au protocole HTTP

• Format des requêtes
• Mécanismes d'authentification HTTP
• Génération de requêtes HTTP
• Découverte passive d'informations
• HTTP : protocole de transport

Introduction au protocole HTTPS

• Généralités
• Authentification par certificats X.509
• Méthodes d'audit HTTPS
• Historique des failles de sécurité

Qualité des développements WEB

• Erreurs classiques
• Classification OWASP : exemples, démonstrations
• Injections : exemple avec SQL
• XSS (Injection croisée de code)

Apache

• Présentation du serveur phare du marché Web
• Sécurisation d'un serveur Apache
• Mettre en place https avec mod_ssl
• Apache en relais-inverse
• Relayage applicatif avec mod_proxy/mod_rewrite
• Filtrage applicatif avec mod_security
• Application à l'intégration Apache / Tomcat

Internet Information Services (IIS)

• Architecture
• Installation
• Sécurisation
• Outils
• HTTPS