OWASP | Sécurité des applications Web Mixte : présentiel / à distance

• Savoir d'où provient la menace dans une application web
• Comprendre ce qu'apporte le protocole HTTPS en termes de sécurité
• Comprendre les vulnérabilités du TOP 10 OWASP et savoir les éviter
• Connaitre les menaces générées par les architectures basées sur des API
• Savoir où trouver de l'information pour développer de façon sécurisée
• Intégrer la démarche Security by Design lors des développements

• Développeurs
• Administrateurs
• Responsables sécurité des SI
• Chefs de projets informatique
• Ingénieurs
• Développeurs
• Web masters

• Avoir des connaissances de base en systèmes, réseaux et Internet.

1. Introduction à l'Open Web Application Security Project

• Rappels juridiques
• Comprendre la menace
• KALI Linux
• Tour d'horizon des outils
• Le processus de déroulement d'une attaque

2. Le protocole HTTP/S

• Verbes, En-têtes et Corps
• TLS et SS
• Les attaques sur le protocole HTTPS
• Les certificats
• Les en-têtes de sécurité

3. Le web comme source d'information

• Qu'est-ce que l'OWASP, les TOP 10
• Qu'est-ce que CWE, le TOP 25
• Le référentiel des vulnérabilités CVE
• La gravité d'une vulnérabilité CVSS
• Bienvenue chez les scripts kiddies

4. Le développement sécurisé

• Les outils
• Le Security by design appliqué au développement
• Modifier sa façon de développer en pensant comme un attaquant

5. Le Top 10 Web

• A1 Les injections
• A2 La mauvaise gestion de l'authentification
• A3 L'exposition de données sensibles
• A4 Les attaques sur le langage XML
• A5 Contrôle d'accès insuffisant
• A6 Mauvaise configuration de composants
• A7 Prise de contrôle du navigateur
• A8 Utilisation non sécurisée des fonctions de désérialisation
• A9 Utilisation de composants avec des vulnérabilités connues
• A10 Traces ou monitoring insuffisants ou absents
• CSRF (optionnel, retiré dans la version 2017)
• Redirection arbitraire (optionnel, retiré dans la version 2017)

6. Le Top 10 API

• Vue d'ensemble
• API3 : Exposition excessive de données
• API6 : Modification de données non documentées
• API9 : Exposition de services

Docaposte Institute propose plusieurs dispositifs pédagogiques adaptés aux apprenants :

• Formation en présentiel
  • En groupe (inter-entreprises ou intra-entreprise)
  • En individuel (monitorat)
  • En journée ou en cours du soir (sur demande spécifique)

• Formation en distanciel
  • Distanciel synchrone
  • Distanciel asynchrone

• Apports des connaissances communes.
• Mises en situation sur le thème de la formation et des cas concrets.
• Méthodologie d'apprentissage attractive, interactive et participative.
• Equilibre théorie / pratique : 60 % / 40 %.
• Supports de cours fournis au format papier et/ou numérique.
• Ressources documentaires en ligne et références mises à disposition par le formateur.
• Pour les formations en présentiel dans les locaux mis à disposition, les apprenants sont accueillis dans une salle de cours équipée d'un réseau Wi-Fi, d'un tableau blanc ou paperboard. Un ordinateur avec les logiciels appropriés est mis à disposition (le cas échéant).

En amont de la formation

• Recueil des besoins des apprenants afin de disposer des informations essentielles au bon déroulé de la formation (profil, niveau, attentes particulières...).
• Auto-positionnement des apprenants afin de mesurer le niveau de départ.

Tout au long de la formation

• Évaluation continue des acquis avec des questions orales, des exercices, des QCM, des cas pratiques ou mises en situation...

A la fin de la formation

• Auto-positionnement des apprenants afin de mesurer l'acquisition des compétences.
• Evaluation par le formateur des compétences acquises par les apprenants.
• Questionnaire de satisfaction à chaud afin de recueillir la satisfaction des apprenants à l'issue de la formation.
• Questionnaire de satisfaction à froid afin d'évaluer les apports ancrés de la formation et leurs mises en application au quotidien.

• Admission sans disposition particulière