HSC   Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Formations > Défense des applications web SANS Developer 522
Accéder au : Site HSC généraliste
Recherche :  
 English version
   Formations Présentielles   
o Planning des formations
o Formations certifiantes avec LSTI
o Certifications
o Formations universitaires
   E-learning   
o Le E-learning HSC
o La norme ISO 27001
o Programmation sécurisée en PHP
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|Défense des applications web SANS Developer 522  
Formations Présentielles
Voir aussi...
o Organisation des formations
o Planning des formations inter-entreprises
o Tests d'intrusion
o Tests d'intrusion applicatifs et hacking éthique SANS Security 542
o Network Penetration Testing and Ethical Hacking SANS Security 560
o Tests d'Intrusion avancés, exploits, hacking éthique SANS Security 660
o Thème actualité
o Thème avis de sécurité
o Newsletter HSC
o Comment nous demander une prestation
o Objectifs
o Certification
o Durée
o Formateur(s)
o Public visé et prérequis
o Méthode pédagogique
o Cours associés
o Support
o Plan
o Modalités d'inscription

Dates des prochaines sessions :
> 2-6 avril 2012 (Paris)
> 19-23 novembre 2012 (Paris)
Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.
 

Basé sur le retour d'expérience de toute une communauté internationale d'experts en sécurité, le cours SANS "Defending Web Applications Security Essentials" présente, de façon détaillée, les points importants à connaître pour protéger au mieux les applications web vis-à-vis des attaques actuelles.

Objectifs

Couvrant le Top 10 de l'OWASP, DEV-522 permet de mieux comprendre les tenants et les aboutissants des vulnérabilités d'une application web et d'appliquer par la suite les mesures adéquates permettant de les combler.

Des statégies de défense possibles au sein des infrastructures, des architectures et des implémentations d'applications web seront présentées et basées sur des exemples issus du retour d'expérience des formateurs. L'élaboration et la mise en oeuvre de tests applicatifs est également traitée afin de donner les éléments nécessaires permettant de s'assurer qu'une application web est correctement protégée contre les vulnérabilités décrites lors de cette formation.

DEV-522 couvre aussi bien les applications web classiques que celles basées sur les nouvelles technologies telles que le Web 2.0 (Ajax) et les web services. L'état de l'art des méthodes de protection est présenté telles que les applications profitant pleinement des nouveaux mécanismes de sécurité intégrés aux navigateurs récents.

Afin que cette formation soit bénéfique à un plus large public, le focus est porté principalement sur les stratégies de sécurité plutôt que sur le niveau implémentation.

DEV-522 s'adresse à toute personne jouant un rôle dans l'architecture, l'implémentation, l'administration et la sécurisation des applications web. Elle convient particulièrement aux experts en sécurité, développeurs et architectes d'applications web.

La formation est accompagnée d'exercices pratiques réguliers et se conclue par un exercice final du type Capture The Flag (CTF) renforcant les différentes notions acquises au cours de la semaine.

Certification

Cette formation prépare à la certification GIAC Certified Web Application Defender.
Le passage de l'examen pour la certification peut être acheté soit lors de l'inscription à la formation soit directement auprès de SANS. L'examen se passe dans un centre agréé SANS.

Durée

5 jours (9h00-18h30)

Formateur(s)

La formation est dispensée par :

Public visé et prérequis

Cette formation s'adresse :

  • Développeurs web.
  • Responsables sécurité ou Maîtrises d'ouvrage qui désirent apprendre les mécanismes de sécurisation d'une application web afin d'améliorer leurs interactions avec les équipes en charge de la sécurité des applications web.
  • Architectes d'application web souhaitant renforcer ou actualiser leurs connaissances dans la sécurité des applications web.
  • Experts en sécurité informatique.
  • Chefs de projets, pilotes de projet, maîtrises d'oeuvre, ou responsables sécurité voulant mieux comprendre les techniques des attaquants pour ainsi mieux sécuriser leurs applications.
Les participants doivent avoir une expérience dans le dévelopements web.

Méthode pédagogique

Les supports proviennent directement du SANS et sont donc en anglais, le cours est toutefois donné en français.

Chaque module est illustré de démonstrations permettant de visualiser la problématique abordée. La mise à disposition par HSC d'un ordinateur portable équipé des différentes machines virtuelles et outils nécessaires à la reproduction de ces démonstrations et à la réalisation des différents exercices permet immédiatement de mettre en pratique les attaques et réalisations vues dans le module.

Chaque stagiaire reçoit les supports papiers (en Anglais) de formation.

Cours associés

Les autres cours techniques HSC permettent d'approfondir les risques et les actions de sécurisation à mener sur les technologies abordées dans le cours.

On pourra citer entre autre :

Support

Le support de cours est intégralement en anglais.

Plan

Le plan est issu de la formation DEV 522 du SANS et suit donc le programme décrit à l'adresse :
http://www.sans.org/security-training/defending-web-applications-security-essentials-1442-mid

1) Bases du web
  • Introduction au protocole HTTP
  • Aperçu des technologies web
  • Architecture d'une application web
  • Tendances des attaques actuelles
2) Authentification et gestion des autorisations
  • Mécanismes d'authentification: vulnérabilités et protections
  • Gestion des autorisations: vulnérabilités et protections
3) Chiffrement des communications
  • Vulnérabilités du protocole SSL
  • Bonnes pratiques
4) Gestion des sessions
  • Vulnérabilités classiques
  • Cross-Site Request Forgery
  • Bonnes pratiques
5) Gestion des entrées utilisateur
  • Failles récurrentes et protections associées
  • Injections SQL: vulnérabilités et protections
  • Cross-Site Scripting: vulnérabilités et protections
6) Détection d'intrusion
  • Systèmes de détection d'intrusion au sein des applications web
  • Gestion des incidents
  • Honeytokens
7) Web services
  • Introduction aux web services
  • Mécanismes de sécurité dans le traitements des données XML
  • Mécanismes de sécurité intégrés à XML
8) Technologies Ajax
  • Introduction aux technologies Ajax
  • Attaques classiques
  • Mécanismes de sécurité
9) Technologies récentes et à venir
  • Vulnérabilités du type Clickjacking et DNS rebinding
  • Sécurité Flash
  • Sécurité des applets Java
  • Single Sign On (SSO) et sécurité
  • Impact de l'IPv6 sur la sécurité web

Modalités d'inscription

Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 15 jours ouvrés avant la formation. Ce délai strict de 15 jours est imposé par SANS. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.
Dernière modification le 8 juin 2011 à 16:58:29 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2009 Hervé Schauer Consultants