HSC   Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Training courses > Web Servers and applications Security
Go to: HSC main site
Download the training catalog
Search:  
Version française
   Training courses   
o Planning
o LSTI Training courses
o SANS Training courses
o Certifications
o Formations universitaires
   E-learning   
o E-learning HSC
o ISO 27001
o PHP security
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
   HSC est certifié OPQF   
logo OPQF
|>|Web Servers and applications Security  
Training courses
See also...
o Organization of the courses
o Training sessions planning
o Goals
o Duration
o Instructor(s)
o Pre-requisite for attendants
o Teaching method
o Related courses
o Material
o Agenda
o Methods of inscription

Dates of the coming sessions:
- No session in the coming months
Dates subject to modification without prior notice. The sessions will only take place if the number of registered attendants is high enough.
 


Goals

Acquire necessary knowledge to secure a web server and associated applications (this course is mainly directed toward the Apache and Internet Information Services (IIS) servers).


Duration

3 days.


Instructor(s)

Christophe Renard (Christophe.Renard@hsc.fr)


Pre-requisite for attendants

This course is meant for web project managers, web servers developpers and administrators and security managers.

Prior knowledge of the basis of TCP/IP networks, web (notably HTTP), Unix and Windows is necessary.


Teaching method

Lectures, most of the points will be illustrated by practical examples and punctuated by work practices.


Related courses

Secure Programming


Material


Agenda

Sécurité des applications Web

Jour 1 :

  • Introduction au protocole HTTP
    • Format des requêtes
    • Mécanismes d'authentification HTTP
    • Génération de requêtes HTTP
    • Découverte passive d'informations
    • HTTP : protocole de transport
  • Introduction au protocole HTTPS
    • Encapsulation de protocoles
    • Mécanismes d'authentification
    • Authentification par certificats X.509
    • Hôtes virtuels
  • Travaux pratiques
    • Scan de port
    • Prise d'empreinte de serveur Web
    • Création de fichier sur un serveur Web
    • Écoute et récupération de login / password
    • Modification de requêtes
    • HTTPS en ligne de commande : récupération d'information
  • Typologie des attaques
  • Architecture réseau : relayage et filtrage applicatifs
  • Qualité des développements WEB
    • Erreurs classiques
    • Classification OWASP : exemples, démonstrations
    • Injections et dénis de service
  • Injections : exemple avec SQL
    • Principes et contre-mesures
  • Gestion des sessions authentifiées
    • Suivi de session avec cookie
    • Identifiant par réécriture d'URI
    • HTTPS
    • Exemples de serveurs d'application
    • Vols de session
Jour 2 :
  • Attaques par XSS (Injection croisée de code ou Cross-Site Scripting)
    • Fonctionnement
    • Exploitation
    • Protection
    • Vol de session par XSS
    • Cross-Site-Request-Forgeries (CSRF ou XSRF)
  • Présentation d'outils
  • Dénis de service
  • Travaux pratiques
    • Exploitation d'un buffer overflow à l'aide de metasploit
    • Contournement d'authentification
    • Attaques d'injection SQL
    • Exploitation d'une vulnérabilité de type XSS
    • Attaques d'injection de commandes
    • Dépôt de WEBSHELL

Sécurité des serveurs Web

  • Apache
    • Présentation
    • Sécurisation
    • HTTPS avec mod_ssl
    • OpenSSL
Jour 3 :
  • Apache en relais-inverse
    • Relayage applicatif avec mod_proxy/mod_rewrite
    • Filtrage applicatif avec mod_security
    • Application à l'intégration Apache/Tomcat
    • Filtrage applicatif avec mod_eaccess
  • Internet Information Services (IIS)
    • Architecture
    • Installation
    • Sécurisation
    • Outils
    • HTTPS
  • Travaux pratiques
    • Mise en place d'une authentification SSL cliente
    • Création de règle de filtrage
    • Mise en place d'une règle de relais
    • Exploitation de la méthode connect
    • Contournement de règle de filtrage
    • Récupération du domaine d'un serveur par HTTP
    • Prise de main système au travers d'une injection sur MS SQL


Methods of inscription

For registering an HSC course, please contact our training department by phone : +33 141 409 704 or by email at formations@hsc.fr, with first and last name of every student, your postal address and your company VAT number. Thoses informations enable us to send your the training agreement. The training agreement must be return agreed with signature and company stamp with you purchase order, at least 6 days before the course. The purchase order should precise your billing address and our payment regulations : net 30 days from our invoice date. Registration is completed as soon as we received those two documents.

Last modified on 2 May 2012 at 13:10:59 CET - webmaster@hsc.fr
Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants