Sécurité des applications web

Objectifs

• Découvrir les menaces Web classiques et modernes.
• Repérer vos points faibles.
• Corriger vos vulnérabilités et développer de façon sécurisée.
• Mettre en place et exploiter un système de "monitoring" sécurité afin de détecter et réagir aux tentatives d'intrusion.

Programme

Les applications Web et les menaces

• Comment fonctionne le Web : DNS / HTTP / TLS.
• Comment fonctionnent les applications « single-page »
• KYA : « Know Your Attacker ». Connaitre votre attaquant
• Menaces : Man In The Browser / Distribution de Malwares / Advanced Persistent Threat / Ransomware
• Risques

Les vulnérabilités

Les vulnérabilités présentées ci-dessous seront expérimentées par les stagiaires sous forme d’atelier « ethical hacking » sur une application volontairement vulnérable

• Injection de code.
• Injection SQL
• « Broken Authentication and Session Management »
• « Reflected XSS », « Persistent XSS » and « DOM XSS »
• « Insecure Direct Object Reference »
• Erreurs de configuration
• Exposition de données sensibles
• Vérifications insuffisantes des données échangées
• « Cross-Site Request Forgery »
• Utilisation de composants vulnérables
• Redirections non validées

« Single-Page Application » et sécurité des APIs REST

• DOM XSS.
• Validation client vs. Validation API
• Fuites et accès non autorisées aux ressources de l’API
• Fuite du token d’authentification

TLS, authentification et authentification forte

• Choix des algorithmes cryptographiques à utiliser.
• Authentification avec certificat client et PKCS#11
• Authentification avec « One-Time Password »

ModSecurity

• Mise en place de ModSecurity.
• Edition et gestion des règles ModSecurity
• Système de « scoring » ModSecurity
• Le « virtual patching » avec ModSecurity

Monitoring » sécurité avec ModSecurity et Splunk.

• Corrélation d’évènements.
• Création de dashboards