ICDE-WEBSEC : Sécurité des applications WEB
Enseigne aux professionnels de la cybersécurité les techniques pour identifier et sécuriser les vulnérabilités des applications web, incluant des méthodes de test d’intrusion et des stratégies de protection avancées.
A propos de cette formation certifiante
La formation “Sécurité des applications web” proposée par l’ICDE est conçue pour les professionnels de la cybersécurité souhaitant se spécialiser dans la sécurisation des applications web. Cette formation avancée fournit aux participants une compréhension complète des vulnérabilités des applications web, des techniques d’attaque courantes et des méthodologies de tests de sécurité pour identifier et exploiter ces vulnérabilités. Les participants apprendront également à utiliser des outils et des techniques pour sécuriser efficacement les applications web contre ces vulnérabilités.
Les sujets abordés dans cette formation comprennent l’identification et la compréhension des vulnérabilités courantes telles que l’injection SQL, les attaques XSS et CSRF, les vulnérabilités liées à l’authentification et à l’autorisation, ainsi que l’analyse de la sécurité des applications mobiles. Les participants apprendront également les méthodologies de test d’intrusion pour les applications web, y compris les tests de pénétration manuels et automatisés, les tests d’exploitation de vulnérabilités et les tests de sécurité de configuration.
La formation “Sécurité des applications web” est destinée aux professionnels de la cybersécurité, y compris les ingénieurs en sécurité, les analystes de sécurité, les testeurs de sécurité et les administrateurs de système souhaitant se spécialiser dans la sécurité des applications web. Les participants doivent avoir une connaissance préalable des concepts de sécurité des réseaux et des systèmes, ainsi que des connaissances de base en développement d’applications web.
À la fin de la formation, les participants seront en mesure de comprendre les vulnérabilités courantes des applications web, de mettre en œuvre des tests d’intrusion et d’exploitation pour les identifier, et de mettre en place des mesures de sécurité efficaces pour protéger les applications web contre ces vulnérabilités.
Objectifs pédagogiques
- Comprendre les concepts de sécurité des applications web
- Identifier les vulnérabilités courantes dans les applications web, telles que les injections SQL, les attaques XSS, les failles de sécurité CSRF et les problèmes d’authentification
- Apprendre les méthodes pour corriger les vulnérabilités courantes dans les applications web
- Comprendre les bonnes pratiques de développement pour développer des applications web sécurisées
- Apprendre à utiliser les outils et techniques pour détecter les vulnérabilités de sécurité dans les applications web
- Savoir comment élaborer un plan de sécurité pour les applications web, y compris la gestion des risques, la planification des tests de sécurité et la documentation des résultats
Public
- Consultant en cybersécurité
- Administrateur système
- Ingénieur en informatique
- Développeur
Prérequis
- Connaissances généralistes en programmation WEB
- Connaissances en système
- Connaissances en réseau
Programme de la formation
Section 1 – Introduction
- Panorama de la sécurité web
- Les normes, lois
- Les référentiels
- Les groupes de réflexion
Section 2 – Protocole HTTP
- Client/serveur, AJAX, DOM
- Les headers
- Les status code
- Les méthodes
- TD / Ouverture sur Burp suite
Section 3 – Top 10 OWASP 2021 (Basé sur Burp suite)
- Mise en place du lab
- Introduction au TOP10 OWASP, TOP 25 SANS, Veracode
- Les différentes Injections (SQL, LDAP, code, etc.)
- TD / injection SQL et injection de code
- Authentification
- TD / Session hijacking (MITM proxy) , brute force (cewl + Cupp.py)
- Exposition de données sensibles
- TD / Burp Spider, Shodan, dorks, dirbuster, inspection de code, GIT
- XXE
- TP / challenge XXE
- Sécurisation des accès
- TD / élévation de privilège (bypass CORS, cookie tamering)
- Mauvaise configuration de sécurité
- TD / vulnérabilité SSRF
- Cross-Site Scripting (XSS)
- Stored
- Reflected
- Dom based
- TD / defacing avec XSS
- TP / vol de cookie via CSRF
- Désérialisation non sécurisée
- TD / élévation de privilège via cookie sérialisé
- Composants vulnérables
- TD / scan de vulnérabilité (WPScan, Nikto, Openvas, NMAP) et framework offensif (Metasploit)
- Logging et monitoring
- TP / DoS d’une application
Section 4 – Hardening applicatif par la pratique
- Sécuriser une authentification (captcha, anti bruteforce)
- Gestion des mots de passe (salage dynamique, modification des status code)
- Management des sessions (timeout de déconnexion, secure FLAG, HTTP ONLY)
- Contrôle d’accès (lister les rôles, privilèges, actions, story board)
- Validation des entrées (lister les entrées présentes sur une application, variables, en-têtes HTTP)
- Encodage des entrées (HTML purifier)
- Encodage des sorties
- Sécuriser un upload de fichier
- Token anti-CSRF
- Management des logs
- TP / Création d’une todo-list
Section 5 – Hardening client/serveur par la pratique
- CSP
- SOP
- CORS
- HSTS
- X-Frame option
- DAST, SAST, WAF et durcissement
- Ouverture avec l’OWASP testing guide, ASVS
Programme de la certification
- 2 heures d'examen (en ligne)
- 75 % de réussite pour obtenir la certification
- Certification valide 3 ans
- QCM de 50 questions
- 90 jours pour passer la certification à la suite de la formation
Détails
- Durée de la formation : 3 jours
- Certification : ICDE-WEBSEC
Démarquez-vous de la foule et faites progresser votre carrière avec ICDE
Renforcez vos équipes, améliorez votre pertinence et assurez votre avenir, le tout en restant en avance dans le monde en constante évolution de la cybersécurité.
Formations connexes
ICDE-WINSEC : Déploiement de Sécurité Windows
Le cours de formation sur la Sécurité Windows est conçu pour valider les...
ICDE-SECLINUX : Déploiement de Sécurité Linux
Le cours de formation sur la Sécurité Linux est conçu pour valider les compétences...