Formation : Sécuriser des applications, services et serveurs Web
Se former avec
LEARNING TREE INTERNATIONAL
- Renseignements :
- Durée : 4 Jours
- Type : En centre
- Diplômant : Oui
-
Prix H.T. € :N.C.
- Objectifs :
- Aujourd'hui, les attaques ciblent les vulnérabilités des applications Web plus que celles des systèmes d'exploitation et des réseaux. Ces vulnérabilités peuvent être exploitées pour obtenir des informations confidentielles et compromettre l'intégrité de l'entreprise. Par conséquent, les entreprises doivent mettre en place des mesures de sécurité strictes dans le processus de développement d'applications Web. Ce stage vous apporte une expérience pratique approfondie de la sécurisation d'applications et serveurs hôtes Web.
Vous apprendrez à
Mettre en œuvre et tester des applications Web dans votre entreprise
Configurer un serveur Web dans le but de chiffrer le trafic Web avec HTTPS
Identifier, diagnostiquer et corriger les 10 principales vulnérabilités définies par l'OWASP
Protéger des applications Ajax
Sécuriser des services Web XML avec WS-Security
Réaliser un audit de la sécurité des applications Web grâce à du code source et au scan d'applications
- Public visé :
-
À ceux qui souhaitent mettre en œuvre, tester et déployer des applications Web sécurisées
- Pré-requis :
- Une expérience du développement d'applications Web et des connaissances de base de l'administration de serveurs Web sont supposées acquises. Aucune connaissance préalable de la sécurité n'est requise.
- Démarrage
Définir les menaces contre vos atouts Web
Recueillir des données concernant la légalité et le droit à la vie privée
Explorer les vulnérabilités courantes
Bases de la sécurité
Modélisation de la sécurité Web
Le triangle CIA (Confidentialité, Intégrité et Disponibilité)
Authentifications et autorisations
Chiffrement et hachage
Différentiation cryptographie à clé publique et à clé privée
Vérification de l'intégrité des messages avec les empreintes, signatures et certificats numériques
Accroissement de la sécurité Web
Configuration de la sécurité pour des services HTTP
Gestion des mises à jour de logiciels
Restriction des méthodes HTTP
Sécurisation des communications avec SSL/TLS
Obtention et installation de certificats de serveurs
Mise en place de HTTPS sur le serveur Web
Protection de l'échange des identités
Détection de modifications non autorisées du contenu
Configuration correcte des permissions
Scanner pour détecter les changements du système de fichiers
Sécurité des applications Web
Utilisation des ressources de l'OWASP
Les dix principales vulnérabilités de l'OWASP (Open Web Application Security Project)
Identification d'anomalies critiques dans la sécurité
Correction des failles identifiées
Sécurisation des interactions entre les bases de données et les applications
Déceler et empêcher les injections SQL
Protection des références d'objets directs
Incidences du chiffrement du contenu de bases de données
Gestion de l'authentification de sessions
Protection contre le détournement de sessions
Mise en place du contrôle d'accès aux URL
Blocage de la falsification de requêtes inter-sites
Contrôle des fuites d'informations
Affichage de messages d'erreurs édulcorés sur l'écran de l'utilisateur
Gestion des erreurs de requêtes et sur les pages
Validation des saisies
Établissement de limites de confiance
Déceler et supprimer les menaces de XSS (cross-site scripting)
Exposer les dangers de la validation côté client
Prévention contre le vol électronique
Développement de la sécurité Ajax
Fonctionnalités Ajax
Identification des éléments principaux d'Ajax
Échange d'informations de façon asynchrone
Évaluation des risques et des menaces
Gestion des interactions imprévisibles
Restriction de l'utilisation d'Ajax dans les applications
Sécurisation des services Web XML
Diagnostic des vulnérabilités XML
Repérage des balises non terminées et des dépassements de champs
Prévention contre les attaques de déni de service (DoS)
Protection de l'échange de messages SOAP
Validation des saisies avec un schéma XML
Chiffrement des échanges avec HTTPS
Mise en œuvre d'un cadre de sécurité des services Web
Authentification de l'accès aux services Web`
Scans d'applications pour identifier les faiblesses
Configuration et utilisation de scanners
Recherche par motifs pour identifier les erreurs
Découverte de vulnérabilités nouvelles ou inconnues grâce au ''fuzzing''
Détection des défauts dans les applications
Scans d'applications à distance
Automatisation de l'analyse du code source
Test d'applications Web avec Netcat, Cryptcat et Wget
Interception du trafic avec WebScarab de l'OWASP
Bonnes pratiques pour la sécurité Web
Adoption des normes
Réduction des risques en mettant en œuvre des architectures éprouvées
Gestion des données personnelles et financières
Développement de recommandations pour la journalisation
Gestion de la sécurité réseau
Évaluation des risques avec une matrice de menaces
Intégration d'applications à votre architecture réseau
Travaux pratiques
Dans ce cours, des exercices approfondis basés sur une étude de cas évolutive vous apportent une expérience pratique de la sécurisation d'applications. Les exercices comprennent :
Interception et modification d'un message SOAP signé
Détection de modifications non autorisées du système de fichiers
Mise en place de HTTPS sur un serveur Web
Éviter les failles XSS (cross site scripting)
Prévention contre l'injection de code avec la validation des saisies
Mise en place de restrictions d'accès aux URL
Protection des services Web avec WS-Security
Identification des vulnérabilités avec un scanner d'applications
30/09/2008 au 03/10/2008 (69)
27/05/2008 au 30/05/2008 (69)
20/05/2008 au 23/05/2008 (69)
14/04/2008 au 17/04/2008 (69)
