HSC   Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Formations > Sécurité des serveurs et applications web
Recherche :  
 English version
   Formations Présentielles   
o Planning des formations
o Formations certifiantes avec LSTI
o Certifications
o Formations universitaires
   E-learning   
o Le E-learning HSC
o La norme ISO 27001
o Programmation sécurisée en PHP
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|Sécurité des serveurs et applications web  
Formations Présentielles
Voir aussi...
o Organisation des formations
o Planning des formations inter-entreprises
o Objectifs
o Durée
o Formateur(s)
o Public visé et prérequis
o Méthode pédagogique
o Cours associés
o Support
o Plan
o Modalités d'inscription

Dates des prochaines sessions :
> 29-31 mars 2010 (Paris)
> 27-29 septembre 2010 (Paris)
Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.
 

Les applications de commerce électronique ainsi que de nombreuses applications sensibles sont aujourd'hui mises en oeuvre sur des serveurs web. L'objectif de ce cours est de proposer aux participants l'acquisition des principes nécessaires à la sécurisation d'un serveur web et des applicatifs associés au travers des fonctionnalités ad hoc. Cette session débute par un rappel sur la sécurité des serveurs réseau et une initiation aux règles de choix, d'installation et de configuration.

Objectifs

Acquérir la maitrise de la sécurisation d'un serveur web et des applicatifs associés (ce cours est principalement orienté vers l'utilisation des serveurs Apache et Internet Information Services (IIS)).

Durée

3 jours.

Formateur(s)

Olivier Dembour (Olivier.Dembour@hsc.fr)

Public visé et prérequis

Ce cours s'adresse aux chef de projets web, intranet et Internet, aux développeurs et administrateurs de serveurs web et aux responsables sécurité.

La connaissance préalable des bases des réseaux TCP/IP, des principes du web (notamment HTTP) et des bases d'Unix et Windows sont nécessaires.

Méthode pédagogique

Cours magistral durant lequel la plupart des points abordés seront illustrés par des exemples pratiques et ponctués par des travaux pratiques.

Cours associés

Programmation sécurisée

Support

Plan

Sécurité des applications Web

Jour 1 :

  • Introduction au protocole HTTP
    • Format des requêtes
    • Mécanismes d'authentification HTTP
    • Génération de requêtes HTTP
    • Découverte passive d'informations
    • HTTP : protocole de transport
  • Introduction au protocole HTTPS
    • Encapsulation de protocoles
    • Mécanismes d'authentification
    • Authentification par certificats X.509
    • Hôtes virtuels
  • Travaux pratiques
    • Scan de port
    • Prise d'empreinte de serveur Web
    • Création de fichier sur un serveur Web
    • Écoute et récupération de login / password
    • Modification de requêtes
    • HTTPS en ligne de commande : récupération d'information
  • Typologie des attaques
  • Architecture réseau : relayage et filtrage applicatifs
  • Qualité des développements WEB
    • Erreurs classiques
    • Classification OWASP : exemples, démonstrations
    • Injections et dénis de service
  • Injections : exemple avec SQL
    • Principes et contre-mesures
  • Gestion des sessions authentifiées
    • Suivi de session avec cookie
    • Identifiant par réécriture d'URI
    • HTTPS
    • Exemples de serveurs d'application
    • Vols de session
Jour 2 :
  • Attaques par XSS (Injection croisée de code ou Cross-Site Scripting)
    • Fonctionnement
    • Exploitation
    • Protection
    • Vol de session par XSS
    • Cross-Site-Request-Forgeries (CSRF ou XSRF)
  • Présentation d'outils
  • Dénis de service
  • Travaux pratiques
    • Exploitation d'un buffer overflow à l'aide de metasploit
    • Contournement d'authentification
    • Attaques d'injection SQL
    • Exploitation d'une vulnérabilité de type XSS
    • Attaques d'injection de commandes
    • Dépôt de WEBSHELL

Sécurité des serveurs Web

  • Apache
    • Présentation
    • Sécurisation
    • HTTPS avec mod_ssl
    • OpenSSL
Jour 3 :
  • Apache en relais-inverse
    • Relayage applicatif avec mod_proxy/mod_rewrite
    • Filtrage applicatif avec mod_security
    • Application à l'intégration Apache/Tomcat
    • Filtrage applicatif avec mod_eaccess
  • Internet Information Services (IIS)
    • Architecture
    • Installation
    • Sécurisation
    • Outils
    • HTTPS
  • Travaux pratiques
    • Mise en place d'une authentification SSL cliente
    • Création de règle de filtrage
    • Mise en place d'une règle de relais
    • Exploitation de la méthode connect
    • Contournement de règle de filtrage
    • Récupération du domaine d'un serveur par HTTP
    • Prise de main système au travers d'une injection sur MS SQL

Modalités d'inscription

Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 6 jours ouvrés avant la formation. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.
Dernière modification le 3 décembre 2009 à 14:31:59 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2009 Hervé Schauer Consultants