Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web»



Documents pareils
Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Découvrir les vulnérabilités au sein des applications Web

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Single Sign-On open source avec CAS (Central Authentication Service)

Formations. «Produits & Applications»

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Sécurité des applications Retour d'expérience

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007


Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Sécurité des applications web. Daniel Boteanu

Présentation de la solution Open Source «Vulture» Version 2.0

DenyAll Detect. Documentation technique 27/07/2015

Joomla! Création et administration d'un site web - Version numérique

Attaques applicatives

Authentification et contrôle d'accès dans les applications web

Groupe Eyrolles, 2004, ISBN :

LEA.C5. Développement de sites Web transactionnels

Vulnérabilités et sécurisation des applications Web

INFORMATIQUE & WEB. PARCOURS CERTIFICAT PROFESSIONNEL Programmation de sites Web. 1 an 7 MODULES. Code du diplôme : CP09

CQP Développeur Nouvelles Technologies (DNT)

Développement des Systèmes d Information

COMPÉTENCES TECHNIQUES

Failles XSS : Principes, Catégories Démonstrations, Contre mesures

Sécurité des Applications Web Comment Minimiser les Risques d Attaques les plus Courants

Vulnérabilités et solutions de sécurisation des applications Web

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

Architectures en couches pour applications web Rappel : Architecture en couches

Devenez un véritable développeur web en 3 mois!

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

WEB & DÉVELOPPEMENT LES BASES DU WEB LE LANGAGE HTML FEUILLES DE STYLES CSS HISTORIQUE D INTERNET ET DU WEB LES DIFFÉRENTS LANGAGES

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

webmestre : conception de sites et administration de serveurs web 42 crédits Certificat professionnel CP09

SSL ET IPSEC. Licence Pro ATC Amel Guetat

TUNIS LE : 20, 21, 22 JUIN 2006

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

Méthode de Test. Pour WIKIROUTE. Rapport concernant les méthodes de tests à mettre en place pour assurer la fiabilité de notre projet annuel.

Guide de démarrage rapide

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting)

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET

Sécurisation d une application ASP.NET

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Projet Sécurité des SI

Analyse de vulnérabilités et évaluation de systèmes de détection d'intrusions pour les applications Web

Charte d hébergement des sites web universitaires "Réseau National Universitaire (RNU)"

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

PySQLi. Framework d'injection de code SQL

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Groupe Eyrolles, 2006, ISBN : X

JSSI mars 2012 Laurent Butti Orange France DMGP/PORTAIL

Introduction. aux architectures web. de Single Sign-On

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Web Application Firewalls (WAF)

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

21 mars Simulations et Méthodes de Monte Carlo. DADI Charles-Abner. Objectifs et intérêt de ce T.E.R. Générer l'aléatoire.

Conception de sites web marchands: TP 1

Tests de montée en charge & Haute disponibilité

WebSSO, synchronisation et contrôle des accès via LDAP

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

les techniques d'extraction, les formulaires et intégration dans un site WEB

LA PROTECTION DES DONNÉES

LemonLDAP::NG. LemonLDAP::NG 1.2. Clément OUDOT RMLL 9 juillet 2012

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

SQL MAP. Etude d un logiciel SQL Injection

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Fermer les portes dérobées des applications réseau

UE 8 Systèmes d information de gestion Le programme

et développement d applications informatiques

Architecture et infrastructure Web

La mémorisation des mots de passe dans les navigateurs web modernes

A5.2.4 Étude d une technologie, d'un composant, d'un outil

Dossier Technique. Détail des modifications apportées à GRR. Détail des modifications apportées à GRR Le 17/07/2008. Page 1/10

La Sécurité des Données en Environnement DataCenter

Les formations. ENI Ecole Informatique

Maarch Framework 3 - Maarch. Tests de charge. Professional Services. 11, bd du Sud Est Nanterre

Protection des protocoles

Samson BISARO Christian MAILLARD

Programme «Analyste Programmeur» Diplôme d état : «Développeur Informatique» Homologué au niveau III (Bac+2) (JO N 176 du 1 août 2003) (34 semaines)

Formation en Logiciels Libres. Fiche d inscription

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Du 03 au 07 Février 2014 Tunis (Tunisie)

PHP CLÉS EN MAIN. 76 scripts efficaces pour enrichir vos sites web. par William Steinmetz et Brian Ward

Les risques HERVE SCHAUER HSC

Mise à jour : Octobre 2011

Transcription:

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» 1

OBJECTIFS DE LA FORMATION RSSI PUBLIC Administrateur Réseau et Système Consultant sécurité Responsable Développement Développeur PRÉREQUIS Connaissance en administration des systèmes d exploitation Savoir écrire des algorithmes Découvrir les techniques de piratage Comprendre et évaluer l impact d une faille sur un système d information Identifier et prioriser les mesures correctives 01 02 PARCOURS DIPLÔMANT 8 * (45Min / 1h) 03 04 pour valider les acquis à chaque formation (8 ) 05 06 07 Pour chaque formation, accès à un forum dédié pour poser des questions : Un ingénieur Certilience répond. 08 2

HEURE 1 PRÉSENTATION D UNE ARCHITECTURE WEB CLASSIQUE Présentation d une architecture classique Présentation des équipements de sécurité (Firewall/WAF/ ) Non PRÉSENTATION DU PROTOCOL HTTP Présentation des méthodes HTTP et des erreurs Les en-têtes HTTP Gestion des sessions 3

HEURE 2 VULNÉRABILITÉ CERTILIENCE (BASE OWASP) Présentation injection SQL Présentation injection LDAP Présentation injection système Présentation injection coté client Présentation injection XML HEURE 3 XSS à Javascript Présentation des 3 types de vulnérabilités XSS a. Reflected b. Stored c. Basées sur DOM 4

ATTAQUE DES COMPOSANTS Présentation du principe de l attaque Présentation dans une architecture HEURE 4 ATTAQUE LOGIQUE DE Principe L'APPLICATION - Références Présentation du risque lié à une directes non sécurisées à un objet référence directe à un objet 5

FALSIFICATION DE REQUÊTE INTER-SITE (CSRF) Principe et schéma type de l attaque Présentation des risques HEURE 5 MAUVAISE CONFIGURATION SÉCURITÉ Principe Message d erreur sur une page a) Récupération d informations b) Technologie base : MYSQL,MS-SQL,Oracle c) Technologie serveur web : php, jboss,.net Authentification : erreur différente en cas d erreur sur le login ou le mot de passe 6

VIOLATION DE GESTION D'AUTHENTIFICATION ET DE SESSION Présentation des différents mécanismes d authentification Les plus+ et les moins Présentation de la gestion des sessions HEURE 06 EXPOSITION DE DONNÉES SENSIBLES Fuite d information : a. Analyse des requêtes/réponses b. Fingerprinting des applications Présentation des différentes méthodes de stockage des informations a. Sans chiffrement b. Utilisation md5, sha256 c. Les méthodes pour retrouver ou rejouer des mots de passe 7

HEURE 7 PROTECTION INSUFFISANTE DE LA COUCHE TRANSPORT Rappel sur une communication IP Présentation de la méthode pour écouter le flux Présentation de principe de SSL HEURE 8 REDIRECTION ET RENVOIS NON VALIDÉS CONSEILS EN DÉVELOPPEMENT SÉCURISÉ ET RAPPEL DES PRINCIPES Présentation du principe Présentation des risques Exemple de formulaire vulnérable Conseils et synthèse des bonnes pratiques Non 8

du parcours complet Certilience «Sécurité des applications Web» 9

Bérangère THEVENET, Chargée de développement bthevenet@certilience.fr - 07 85 84 34 09 SIEGE LYON : Immeuble «Les Lauriers», 513 rue sans souci 69760 LIMONEST AGENCE ARCHAMPS : Bât Europa Entrée 03, 74, rue Louis Rustin 74160 ARCHAMPS 10

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back