Description

Ce séminaire dresse un panorama complet des menaces du Web. Il détaille les failles des navigateurs, réseaux sociaux et du Web 2.0, les nouvelles vulnérabilités sur SSL/TLS et certificats X509, ainsi que des applications J2EE, .NET et PHP. Il présente les solutions pour protéger, contrôler la sécurité des applications.

À qui s'adresse cette formation ?

DSI, RSSI, responsables sécurité, développeurs, concepteurs, chefs de projets intégrant des contraintes de sécurité, responsables ou administrateurs réseau, informatique, système.

Les objectifs de la formation

Identifier les menaces de sécurité sur les applications Web
Connaître les protocoles de sécurité Web
Comprendre les typologies d'attaque
Sécuriser les applications Web

Programme de la formation

• Menaces, vulnérabilités des applications Web
  • Risques majeurs des applications Web selon IBM X-Force IBM et OWASP.
  • Attaques de type Cross Site Scripting (XSS), injection et sur sessions.
  • Propagation de faille avec un Web Worm.
  • Attaques sur les configurations standard.
• Protocoles de sécurité SSL, TLS
  • SSL v2/v3 et TLS, PKI, certificats X509, autorité de certification.
  • Impact de SSL sur la sécurité des firewalls UTM et IDS/IPS.
  • Failles et attaques sur SSL/TLS.
  • Techniques de capture et d'analyse des flux SSL.
  • Attaque HTTPS stripping sur les liens sécurisés.
  • Attaques sur les certificats X509, protocole OCSP.
  • SSL et les performances des applications Web.
• Attaques ciblées sur l'utilisateur et le navigateur
  • Attaques sur les navigateurs Web, Rootkit.
  • Sécurité des Smartphones pour le surf sur le Net.
  • Codes malveillants et réseaux sociaux.
  • Les dangers spécifiques du Web 2.
  • 0.
  • Les techniques de Social engineering.
• Attaques ciblées sur l'authentification
  • Authentification via HTTP, SSL par certificat X509 client.
  • Mettre en oeuvre une authentification forte, par logiciel.
  • Solution de Web SSO non intrusive (sans agent).
  • Principales attaques sur les authentifications.
• Sécurité des Web services
  • Protocoles, standards de sécurité XML Encryption, XML Signature, WS-Security/Reliability.
  • Attaques d'injection (XML injection.
  • ), brute force ou par rejeu.
  • Firewalls applicatifs pour les Web services.
  • Principaux acteurs et produits sur le marché.
• Sécuriser efficacement les applications Web
  • Durcissement, hardening : sécuriser le système et le serveur HTTP.
  • Virtualisation et sécurité des applications Web.
  • Environnements .
  • NET, PHP et Java.
  • Les 5 phases du SDL.
  • Techniques de fuzzing.
  • Qualifier son application avec l'ASVS.
  • WAF : quelle efficacité, performances ?
• Contrôler la sécurité des applications Web
  • Pentest, audit de sécurité, scanners de vulnérabilités.
  • Organiser une veille technologique efficace.
  • Déclaration des incidents de sécurité.
  • Démonstration Mise en oeuvre d'un serveur Web avec certificat X509 EV : analyse des échanges protocolaires.
  • Exploitation d'une faille de sécurité critique sur le frontal HTTP.
  • Attaque de type HTTPS Stripping.