Web Servers and applications Security

	See also...  Organization of the courses  Training sessions planning
Goals  Duration  Instructor(s)  Pre-requisite for attendants  Teaching method  Related courses  Material  Agenda  Methods of inscription

Dates of the coming sessions: 27-29 September 2010 (Paris) 4-6 May 2011 (Paris) 5-7 October 2011 (Paris) Dates subject to modification without prior notice. The sessions will only take place if the number of registered attendants is high enough.

 

Acquire necessary knowledge to secure a web server and associated applications (this course is mainly directed toward the Apache and Internet Information Services (IIS) servers).

3 days.

Olivier Dembour (Olivier.Dembour@hsc.fr)

This course is meant for web project managers, web servers developpers and administrators and security managers.

Prior knowledge of the basis of TCP/IP networks, web (notably HTTP), Unix and Windows is necessary.

Lectures, most of the points will be illustrated by practical examples and punctuated by work practices.

Secure Programming

Sécurité des applications Web

Jour 1 :

• Introduction au protocole HTTP
• Format des requêtes
• Mécanismes d'authentification HTTP
• Génération de requêtes HTTP
• Découverte passive d'informations
• HTTP : protocole de transport
• Introduction au protocole HTTPS
• Encapsulation de protocoles
• Mécanismes d'authentification
• Authentification par certificats X.509
• Hôtes virtuels
• Travaux pratiques
• Scan de port
• Prise d'empreinte de serveur Web
• Création de fichier sur un serveur Web
• Écoute et récupération de login / password
• Modification de requêtes
• HTTPS en ligne de commande : récupération d'information
• Typologie des attaques
• Architecture réseau : relayage et filtrage applicatifs
• Qualité des développements WEB
• Erreurs classiques
• Classification OWASP : exemples, démonstrations
• Injections et dénis de service
• Injections : exemple avec SQL
• Principes et contre-mesures
• Gestion des sessions authentifiées
• Suivi de session avec cookie
• Identifiant par réécriture d'URI
• HTTPS
• Exemples de serveurs d'application
• Vols de session

• Attaques par XSS (Injection croisée de code ou Cross-Site Scripting)
• Fonctionnement
• Exploitation
• Protection
• Vol de session par XSS
• Cross-Site-Request-Forgeries (CSRF ou XSRF)
• Présentation d'outils
• Dénis de service
• Travaux pratiques
• Exploitation d'un buffer overflow à l'aide de metasploit
• Contournement d'authentification
• Attaques d'injection SQL
• Exploitation d'une vulnérabilité de type XSS
• Attaques d'injection de commandes
• Dépôt de WEBSHELL

Sécurité des serveurs Web

• Apache
• Présentation
• Sécurisation
• HTTPS avec mod_ssl
• OpenSSL

• Apache en relais-inverse
• Relayage applicatif avec mod_proxy/mod_rewrite
• Filtrage applicatif avec mod_security
• Application à l'intégration Apache/Tomcat
• Filtrage applicatif avec mod_eaccess
• Internet Information Services (IIS)
• Architecture
• Installation
• Sécurisation
• Outils
• HTTPS
• Travaux pratiques
• Mise en place d'une authentification SSL cliente
• Création de règle de filtrage
• Mise en place d'une règle de relais
• Exploitation de la méthode connect
• Contournement de règle de filtrage
• Récupération du domaine d'un serveur par HTTP
• Prise de main système au travers d'une injection sur MS SQL

For registering an HSC course, please contact our training department by phone : +33 141 409 704 or by email at formations@hsc.fr, with first and last name of every student, your postal address and your company VAT number. Thoses informations enable us to send your the training agreement. The training agreement must be return agreed with signature and company stamp with you purchase order, at least 6 days before the course. The purchase order should precise your billing address and our payment regulations : net 30 days from our invoice date. Registration is completed as soon as we received those two documents.