Ce séminaire dresse un panorama des menaces du Web. Il détaille les failles des navigateurs, des réseaux sociaux, les vulnérabilités sur SSL/TLS et certificats X509, ainsi que des applications Java EE, .NET et PHP. Il présente les solutions pour protéger et contrôler la sécurité des applications.
Formation dans vos locaux, chez nous ou à distance
Réf. SEW
2j - 14h
Vous souhaitez transposer cette formation, sans modification, pour votre entreprise ?
Formation à la carte
Vous souhaitez une formation adaptée aux spécificités de votre entreprise et de vos équipes ? Nos experts construisent votre formation sur mesure !
Ce séminaire dresse un panorama des menaces du Web. Il détaille les failles des navigateurs, des réseaux sociaux, les vulnérabilités sur SSL/TLS et certificats X509, ainsi que des applications Java EE, .NET et PHP. Il présente les solutions pour protéger et contrôler la sécurité des applications.
Objectifs pédagogiques
À l’issue de la formation, le participant sera en mesure de :
Identifier les menaces de sécurité sur les applications Web
Connaître les protocoles de sécurité Web
Comprendre les typologies d'attaque
Sécuriser les applications Web
Public concerné
DSI, RSSI, responsables sécurité, développeurs, concepteurs, chefs de projets intégrant des contraintes de sécurité, responsables ou administrateurs réseau, informatique, système.
Prérequis
Connaissances de base en informatique et en réseaux.
Vérifiez que vous avez les prérequis nécessaires pour profiter pleinement de cette formation en faisantce test.
Programme de la formation
Menaces, vulnérabilités des applications Web
Risques majeurs des applications Web selon IBM X-Force et OWASP.
Attaques de type Cross Site Scripting (XSS), injection et sur sessions.
Propagation de faille avec un Web Worm.
Attaques sur les configurations standard.
Protocoles de sécurité SSL, TLS
SSL v2/v3 et TLS, PKI, certificats X509, autorité de certification.
Impact de SSL sur la sécurité des firewalls UTM et IDS/IPS.
Failles et attaques sur SSL/TLS. Techniques de capture et d'analyse des flux SSL.
Attaque HTTPS stripping sur les liens sécurisés.
Attaques sur les certificats X509, protocole OCSP.
SSL et les performances des applications Web.
Attaques ciblées sur l'utilisateur et le navigateur
Attaques sur les navigateurs Web, Rootkit.
Sécurité des Smartphones pour le surf sur le Net.
Codes malveillants et réseaux sociaux.
Les techniques de Social Engineering.
Attaques ciblées sur l'authentification
Authentification via HTTP, SSL par certificat X509 client.
Mettre en œuvre une authentification forte, par logiciel.
Solution de Web SSO non intrusive (sans agent).
Principales attaques sur les authentifications.
Sécurité des Web Services
Protocoles, standards de sécurité XML Encryption, XML Signature, WS-Security/Reliability.
Attaques d'injection (XML injection...), brute force ou par rejeu.
Firewalls applicatifs pour les Web Services.
Principaux acteurs et produits sur le marché.
Sécuriser efficacement les applications Web
Durcissement, hardening : sécuriser le système et le serveur HTTP.
Virtualisation et sécurité des applications Web.
Environnements .NET, PHP et Java. Les 5 phases du SDL.
Techniques de fuzzing. Qualifier son application avec l'ASVS.
WAF : quelle efficacité, quelles performances ?
Contrôler la sécurité des applications Web
Pentest, audit de sécurité, scanners de vulnérabilités.
Organiser une veille technologique efficace.
Déclaration des incidents de sécurité.
Démonstration
Mise en œuvre d'un serveur Web avec certificat X509 EV : analyse des échanges protocolaires. Exploitation d'une faille de sécurité critique sur le frontal HTTP. Attaque de type HTTPS Stripping.
Modalités d'évaluation
Le formateur évalue la progression pédagogique du participant tout au long de la formation au moyen de QCM, mises en situation, travaux pratiques…
Le participant complète également un test de positionnement en amont et en aval pour valider les compétences acquises.
Parcours certifiants associés
Pour aller plus loin et renforcer votre employabilité, découvrez les parcours certifiants qui contiennent cette formation :
Les avis clients sont issus des évaluations de fin de formation. La note est calculée à partir de l’ensemble des évaluations datant de moins de 12 mois. Seules celles avec un commentaire textuel sont affichées.
MANUEL H.
04/04/24
4 / 5
bonne formation pour vue d’ensemble
manque de manipulation pour exemples concrets, surement compliqué dans ce laps de temps
QUENTIN D.
04/04/24
4 / 5
Le support papier ne correspond pas au support projeté en formation.
Beaucoup de sujets abordés mais peu de temps pour se les approprier.
HÉRIC S.
16/11/23
5 / 5
Animateur très vivant avec un recul bienvenu sur son sujet.
CHRISTOPHE M.
16/11/23
4 / 5
Bonne vision de synthèse, animation dynamique et claire.
CHRISTOPHE T.
05/12/22
5 / 5
complete peut etre prévoir des exercices ..
GHISLAIN D.
13/10/22
5 / 5
Formation par l’exemple et utilisation du tableau blanc intéressante
CARINE D.
13/10/22
5 / 5
le contenu etait interactif
LAURENT A.
13/10/22
5 / 5
Un animateur et professeur au TOP et ultra compétent
ELODIE P.
13/10/22
5 / 5
La réalisation de schémas en simultané aide vraiment à cerner les notions exposées.
De plus, l’exercice sur les XSS était vraiment fun.
Mr REYTAN est ouvert et rend la communication agréable.
Merci
JEAN-MICHEL G.
23/06/22
5 / 5
Le contenu est assez technique mais la pédagogie est très bien.
VINCENT B.
23/06/22
5 / 5
Le formateur connait bien son sujet, le cours est rythmé, plusieurs cas pratiques et exemple. Très bonne formation