Sécurité des applications web pour les développeurs

Sécurité des applications web pour les développeurs

Type(s) : PED
Prérequis : Connaître un langage de programmation (Java, C# ou C++) et disposer d’une culture Web (HTML, formulaire, serveur web, base de données).
Objectifs : Cette formation dresse un panel des menaces du Web et détaille les types d'attaques que peut subir une application web Le cours se concentre également sur les technologies et méthodologies permettant de se protéger, ainsi que sur les outils de contrôle pour la sécurité des applications. La formation vous indique les « bonnes pratiques » liées au développement sécurisé des applications.
Durée : 14 heures

Profil du formateur

Formateur consultant, expert, pédagogue et certifié dans son domaine

Méthode pédagogique

La formation est constituée d’apports théoriques et d’exercices pratiques. Chaque stagiaire dispose d’un poste de travail et la gestion en petit groupe (jusqu’à 8 stagiaires) permet un suivi individualisé et adapté. Durant les sessions de formation, un support pédagogique est remis aux stagiaires.

Suivi, évaluation, sanction

Des tours de table permettent de suivre la progression du stagiaire au fur et à mesure de la formation. Un suivi de la formation est réalisé par une feuille de présence émargée par demi-journée par les stagiaires et le formateur. Un questionnaire de satisfaction et une validation des acquis sont complétés par chaque stagiaire en fin de formation.

Plan du cours

présentation des menaces

  • Présentation des différentes standardisations de la terminologie liée à la sécurité
  • Typologie des menaces selon le WASC, le OWASP
  • Failles applicatives : injection, protection d'URL, faille de référence, stockage non sécurisé
  • Attaques côté client : Cross Site Scripting (XSS), gestion de session et authentification, attaque CSRF, Phishing…
  • Failles de configuration : attaques des configurations standards
  • Attaques de type DDOS
  • Les dangers spécifiques du Web 2.0

technologies de sécurité

  • Firewalls, panorama des outils, techniques de base réseaux
  • Filtres des requêtes HTTP
  • Empreinte de message, les algorithmes SHA-x et MD5
  • Signature numérique, Clé publique/ clé privée, Coffre à clé et coffre de confiance, Autorités de certification
  • Chiffrement de données, les algorithmes AES et RSA
  • Protocoles SSL v2/v3 et TLS, PKI, certificats X509,
  • Techniques d'authentification HTTP, authentification par certificat

Sécuriser les applications

  • Protections basiques : Re-post des données, Time-out et déconnexion, Masquer les URL, Validation des données
  • Usurpation d'identité : Cookies et certificats numériques, Session ID et jeton de transaction,
  • Détournement
  • Se protéger des attaques client : XSS ou Cross Site Scripting,
  • Utilisation des références directes, CSRF ou Cross Site Request Forgery, Sécurité d'accès au SGBD, SQL
  • Utilisation du JavaScript, Échappement des tags HTML
  • Protections contre les attaques de force brute, liste de contrôle d'accès

contrôler la sécurité

  • Test d'intrusion, audit de sécurité, scanners de vulnérabilités
  • Organiser une veille technologique
  • Déclaration des incidents de sécurité

gestion de la sécurité mobile

  • Composants d’un système d’exploitation mobile
  • Risques des appareils mobiles
  • Les principales menaces sur les appareils mobiles
  • Étudier les outils de piratage des appareils mobiles
  • Méthode pour sécuriser l’environnements mobiles.

Nous contacter

AMS Formation (France)
03 83 67 63 05
22 Rue de Medreville
54000 Nancy – France

AMS Formation (Luxembourg)
00 352 26 10 22 58
145, route de Pétange
L-4645 Niederkorn – Luxembourg

ams-formation@ams-training.com

Suivez-nous

Retrouvez toute l'actualité d'AMS Formation sur les réseaux sociaux.