Aperçu du cours
Cette formation permettra aux architectes et développeurs de comprendre les principales vulnérabilités Web, de les corriger et de les prévenir. À travers une série d’exercices pratiques vous mettant à la place d’un testeur de pénétration, vous acquérerez des connaissances sur la façon dont les attaquants exploitent chacune des vulnérabilités du Top 10 de l’OWASP.
Tout au long du cours, les étudiants pratiqueront plusieurs méthodes pour couvrir chacune des vulnérabilités, ce qui leur permettra de découvrir les erreurs et de comprendre comment les atténuer.
Prérequis
- Introduction à la sécurité des applications
- Une compréhension de base des 10 risques de sécurité des applications selon l'OWASP
- Connaissance de base des technologies utilisées dans le développement Web (HTML, Javascript, SQL, etc.)
Objectifs pédagogiques
- Comprendre les principales vulnérabilités Web
- Prévenir les principales vulnérabilités Web
- Corriger les principales vulnérabilités Web
Public ciblé
- Architectes
- Développeurs
- Chefs de projet techniques
Programme de formation
-
Introduction à l'OWASP
-
Rappel sur le protocole HTTP
-
Architecture des applications Web
-
Présentation de l’OWASP et du Top 10
-
-
Contrôle d'accès défaillant
-
CORS (Cross-Origin Resource Sharing)
-
Altération des paramètres
-
-
Défaillances d'identification et d'authentification
-
Attaques par force brute et mots de passe faibles
-
Remplissage de formulaires automatique (Credential Stuffing)
-
SSO (Single Sign-On) et MFA (Multi-Factor Authentication) : mythes de sécurité
-
-
Défaillances de l'intégrité des logiciels et des données
-
Dépôts de confiance
-
Cas de l’attaque SolarWinds Sunburst
-
Désérialisation non sécurisée
-
-
Injection
-
Injection SQL
-
Validation des données
-
-
Falsification de requêtes côté serveur (Server-Side Request Forgery)
-
Attaque XXE (XML External Entity)
-
TOCTOU (Race Condition)
-
Segmentation réseau
-
-
Mauvaise configuration de sécurité
-
Échecs de gestion des erreurs
-
Durcissement de l’environnement
-
-
Conception non sécurisée
-
DevOps et sécurité
-
Modélisation des menaces
-
Segmentation réseau
-
-
Défaillances cryptographiques
-
Certificats et canaux sécurisés
-
Sécurité des données au repos
-
-
Composants vulnérables et obsolètes
-
Évaluations de vulnérabilités et outils
-
Gestion des correctifs
-
-
Défaillances de la journalisation et de la surveillance de la sécurité
-
Stockage et format des journaux
-
Gestion des incidents
-
Informatique légale
-