Sécurité des applications web

Sécurité des applications Web

Objectifs

  • Découvrir les menaces Web classiques et modernes.
  • Repérer vos points faibles.
  • Corriger vos vulnérabilités et développer de façon sécurisée.
  • Mettre en place et exploiter un système de "monitoring" sécurité afin de détecter et réagir aux tentatives d'intrusion.

Programme

Les applications Web et les menaces
  • Comment fonctionne le Web : DNS / HTTP / TLS.
  • Comment fonctionnent les applications « single-page »
  • KYA : « Know Your Attacker ». Connaitre votre attaquant
  • Menaces : Man In The Browser / Distribution de Malwares / Advanced Persistent Threat / Ransomware
  • Risques
Les vulnérabilités
Les vulnérabilités présentées ci-dessous seront expérimentées par les stagiaires sous forme d’atelier « ethical hacking » sur une application volontairement vulnérable
  • Injection de code.
  • Injection SQL
  • « Broken Authentication and Session Management »
  • « Reflected XSS », « Persistent XSS » and « DOM XSS »
  • « Insecure Direct Object Reference »
  • Erreurs de configuration
  • Exposition de données sensibles
  • Vérifications insuffisantes des données échangées
  • « Cross-Site Request Forgery »
  • Utilisation de composants vulnérables
  • Redirections non validées
« Single-Page Application » et sécurité des APIs REST
  • DOM XSS.
  • Validation client vs. Validation API
  • Fuites et accès non autorisées aux ressources de l’API
  • Fuite du token d’authentification
TLS, authentification et authentification forte
  • Choix des algorithmes cryptographiques à utiliser.
  • Authentification avec certificat client et PKCS#11
  • Authentification avec « One-Time Password »
ModSecurity
  • Mise en place de ModSecurity.
  • Edition et gestion des règles ModSecurity
  • Système de « scoring » ModSecurity
  • Le « virtual patching » avec ModSecurity
Monitoring » sécurité avec ModSecurity et Splunk.
  • Corrélation d’évènements.
  • Création de dashboards
(Formation suivante) Sécurité des applications Web .Net
Retour à Sécurité des applications web

Pas de commentaires

Les commentaires sont fermés.