OWASP | Sécurité des applications Web Mixte : présentiel / à distance

La sécurité des applications web est devenue aussi importante pour la protection des actifs que pour la réputation de l'entreprise. La formation des développeurs est devenue une obligation légale depuis l'introduction de la RGPD. En plus des menaces bien connues telles que les XSS, CSRF et SQL Injection, les nouveaux patterns de développement basés sur des API amènent leur lot de nouvelles menaces.

Ce cours prépare au passage de la certification
L'achat du voucher pour passer la certification est en option.

• Savoir d'où provient la menace dans une application web
• Comprendre ce qu'apporte le protocole HTTPS en termes de sécurité
• Comprendre les vulnérabilités du TOP 10 OWASP et savoir les éviter
• Connaitre les menaces générées par les architectures basées sur des API
• Savoir où trouver de l'information pour développer de façon sécurisée
• Intégrer la démarche Security by Design lors des développements

• Développeurs
• Administrateurs
• Responsables sécurité des SI
• Chefs de projets informatique
• Ingénieurs
• Développeurs
• Web masters

• Avoir des connaissances de base en systèmes, réseaux et Internet.

1. Introduction à l'Open Web Application Security Project

• Rappels juridiques
• Comprendre la menace
• KALI Linux
• Tour d'horizon des outils
• Le processus de déroulement d'une attaque

2. Le protocole HTTP/S

• Verbes, En-têtes et Corps
• TLS et SS
• Les attaques sur le protocole HTTPS
• Les certificats
• Les en-têtes de sécurité

3. Le web comme source d'information

• Qu'est-ce que l'OWASP, les TOP 10
• Qu'est-ce que CWE, le TOP 25
• Le référentiel des vulnérabilités CVE
• La gravité d'une vulnérabilité CVSS
• Bienvenue chez les scripts kiddies

4. Le développement sécurisé

• Les outils
• Le Security by design appliqué au développement
• Modifier sa façon de développer en pensant comme un attaquant

5. Le Top 10 Web

• A1 Les injections
• A2 La mauvaise gestion de l'authentification
• A3 L'exposition de données sensibles
• A4 Les attaques sur le langage XML
• A5 Contrôle d'accès insuffisant
• A6 Mauvaise configuration de composants
• A7 Prise de contrôle du navigateur
• A8 Utilisation non sécurisée des fonctions de désérialisation
• A9 Utilisation de composants avec des vulnérabilités connues
• A10 Traces ou monitoring insuffisants ou absents
• CSRF (optionnel, retiré dans la version 2017)
• Redirection arbitraire (optionnel, retiré dans la version 2017)

6. Le Top 10 API

• Vue d'ensemble
• API3 : Exposition excessive de données
• API6 : Modification de données non documentées
• API9 : Exposition de services

Docaposte Institute propose plusieurs dispositifs pédagogiques adaptés aux apprenants :

• Formation en présentiel
  • En groupe (inter-entreprises ou intra-entreprise)
  • En individuel (monitorat)
  • En journée ou en cours du soir (sur demande spécifique)

• Formation en distanciel
  • Distanciel synchrone
  • Distanciel asynchrone

• Apports des connaissances communes.
• Mises en situation sur le thème de la formation et des cas concrets.
• Méthodologie d'apprentissage attractive, interactive et participative.
• Equilibre théorie / pratique : 60 % / 40 %.
• Supports de cours fournis au format papier et/ou numérique.
• Ressources documentaires en ligne et références mises à disposition par le formateur.
• Pour les formations en présentiel dans les locaux mis à disposition, les apprenants sont accueillis dans une salle de cours équipée d'un réseau Wi-Fi, d'un tableau blanc ou paperboard. Un ordinateur avec les logiciels appropriés est mis à disposition (le cas échéant).

En amont de la formation

• Recueil des besoins des apprenants afin de disposer des informations essentielles au bon déroulé de la formation (profil, niveau, attentes particulières...).
• Auto-positionnement des apprenants afin de mesurer le niveau de départ.

Tout au long de la formation

• Évaluation continue des acquis avec des questions orales, des exercices, des QCM, des cas pratiques ou mises en situation...

A la fin de la formation

• Auto-positionnement des apprenants afin de mesurer l'acquisition des compétences.
• Evaluation par le formateur des compétences acquises par les apprenants.
• Questionnaire de satisfaction à chaud afin de recueillir la satisfaction des apprenants à l'issue de la formation.
• Questionnaire de satisfaction à froid afin d'évaluer les apports ancrés de la formation et leurs mises en application au quotidien.

• Admission sans disposition particulière