Protéger les applications web

Voir aussi...  Organisation des formations  Planning des formations inter-entreprises  Tests d'intrusion  Tests d'intrusion des applications web et hacking éthique - SANS SEC542  Tests d'intrusion et hacking éthique - SANS SEC560  Tests d'intrusion avancés, exploitation de failles et hacking éthique - SANS SEC660  Thème actualité  Thème avis de sécurité  Newsletter HSC  Comment nous demander une prestation

Objectifs  Certification  Durée  Formateur(s)  Public visé et prérequis  Méthode pédagogique  Cours associés  Support  Plan  Modalités d'inscription

Dates des prochaines sessions : 17-21 juin 2013 (Paris) 14-18 octobre 2013 (Paris) Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.

 

Basé sur le retour d'expérience de toute une communauté internationale d'experts en sécurité, le cours SANS "Protéger les applications web" présente, de façon détaillée, les points importants à connaître pour protéger au mieux les applications web vis-à-vis des attaques actuelles.

Couvrant le Top 10 de l'OWASP, DEV-522 permet de mieux comprendre les tenants et les aboutissants des vulnérabilités d'une application web et d'appliquer par la suite les mesures adéquates permettant de les combler.

Des statégies de défense possibles au sein des infrastructures, des architectures et des implémentations d'applications web seront présentées et basées sur des exemples issus du retour d'expérience des formateurs. L'élaboration et la mise en oeuvre de tests applicatifs est également traitée afin de donner les éléments nécessaires permettant de s'assurer qu'une application web est correctement protégée contre les vulnérabilités décrites lors de cette formation.

DEV-522 couvre aussi bien les applications web classiques que celles basées sur les nouvelles technologies telles que le Web 2.0 (Ajax) et les web services. L'état de l'art des méthodes de protection est présenté telles que les applications profitant pleinement des nouveaux mécanismes de sécurité intégrés aux navigateurs récents.

Afin que cette formation soit bénéfique à un plus large public, le focus est porté principalement sur les stratégies de sécurité plutôt que sur le niveau implémentation.

DEV-522 s'adresse à toute personne jouant un rôle dans l'architecture, l'implémentation, l'administration et la sécurisation des applications web. Elle convient particulièrement aux experts en sécurité, développeurs et architectes d'applications web.

La formation est accompagnée d'exercices pratiques réguliers et se conclue par un exercice final du type Capture The Flag (CTF) renforcant les différentes notions acquises au cours de la semaine.

Cette formation prépare à la certification GIAC Certified Web Application Defender.
Le passage de l'examen pour la certification peut être acheté soit lors de l'inscription à la formation soit directement auprès de SANS. L'examen se passe dans un centre agréé SANS.

5 jours (9h00-18h30)

La formation est dispensée par :

• Certifié ISO27001 Lead Auditor par LSTI
• Certifié ISO27001 Lead Implementer par LSTI
• Certifié IS027005 Risk Manager par LSTI
• Certifié GSEC (Security Essencials) et GWEB (Web Application Defenders) par GIAC

Cette formation s'adresse :

• Développeurs web.
• Responsables sécurité ou Maîtrises d'ouvrage qui désirent apprendre les mécanismes de sécurisation d'une application web afin d'améliorer leurs interactions avec les équipes en charge de la sécurité des applications web.
• Architectes d'application web souhaitant renforcer ou actualiser leurs connaissances dans la sécurité des applications web.
• Experts en sécurité informatique.
• Chefs de projets, pilotes de projet, maîtrises d'oeuvre, ou responsables sécurité voulant mieux comprendre les techniques des attaquants pour ainsi mieux sécuriser leurs applications.

Les supports proviennent directement du SANS et sont donc en anglais, le cours est toutefois donné en français.

Chaque module est illustré de démonstrations permettant de visualiser la problématique abordée. La mise à disposition par HSC d'un ordinateur portable équipé des différentes machines virtuelles et outils nécessaires à la reproduction de ces démonstrations et à la réalisation des différents exercices permet immédiatement de mettre en pratique les attaques et réalisations vues dans le module.

Chaque stagiaire reçoit les supports papiers (en Anglais) de formation.

Les autres cours techniques HSC permettent d'approfondir les risques et les actions de sécurisation à mener sur les technologies abordées dans le cours.

On pourra citer entre autre :

• Tests d'intrusion et hacking éthique - SANS SEC560
• Tests d'intrusion avancés, exploitation de failles et hacking éthique - SANS SEC660
• Tests d'intrusion des applications web et hacking éthique - SANS SEC542

Le support de cours est intégralement en anglais.

Le plan est issu de la formation DEV 522 du SANS et suit donc le programme décrit à l'adresse :
http://www.sans.org/security-training/defending-web-applications-security-essentials-1442-mid

Le plan des formations est susceptible d'être modifié sans préavis pour être en accord avec les dernières modifications de leur contenu réalisées par SANS.

• Introduction au protocole HTTP
• Aperçu des technologies web
• Architecture d'une application web
• Tendances des attaques actuelles

• Mécanismes d'authentification: vulnérabilités et protections
• Gestion des autorisations: vulnérabilités et protections

• Vulnérabilités du protocole SSL
• Bonnes pratiques

• Vulnérabilités classiques
• Cross-Site Request Forgery
• Bonnes pratiques

• Failles récurrentes et protections associées
• Injections SQL: vulnérabilités et protections
• Cross-Site Scripting: vulnérabilités et protections

• Systèmes de détection d'intrusion au sein des applications web
• Gestion des incidents
• Honeytokens

• Introduction aux web services
• Mécanismes de sécurité dans le traitements des données XML
• Mécanismes de sécurité intégrés à XML

• Introduction aux technologies Ajax
• Attaques classiques
• Mécanismes de sécurité

• Vulnérabilités du type Clickjacking et DNS rebinding
• Sécurité Flash
• Sécurité des applets Java
• Single Sign On (SSO) et sécurité
• Impact de l'IPv6 sur la sécurité web

Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 15 jours ouvrés avant la formation. Ce délai strict de 15 jours est imposé par SANS. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.