Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» 1
OBJECTIFS DE LA FORMATION RSSI PUBLIC Administrateur Réseau et Système Consultant sécurité Responsable Développement Développeur PRÉREQUIS Connaissance en administration des systèmes d exploitation Savoir écrire des algorithmes Découvrir les techniques de piratage Comprendre et évaluer l impact d une faille sur un système d information Identifier et prioriser les mesures correctives 01 02 PARCOURS DIPLÔMANT 8 * (45Min / 1h) 03 04 pour valider les acquis à chaque formation (8 ) 05 06 07 Pour chaque formation, accès à un forum dédié pour poser des questions : Un ingénieur Certilience répond. 08 2
HEURE 1 PRÉSENTATION D UNE ARCHITECTURE WEB CLASSIQUE Présentation d une architecture classique Présentation des équipements de sécurité (Firewall/WAF/ ) Non PRÉSENTATION DU PROTOCOL HTTP Présentation des méthodes HTTP et des erreurs Les en-têtes HTTP Gestion des sessions 3
HEURE 2 VULNÉRABILITÉ CERTILIENCE (BASE OWASP) Présentation injection SQL Présentation injection LDAP Présentation injection système Présentation injection coté client Présentation injection XML HEURE 3 XSS à Javascript Présentation des 3 types de vulnérabilités XSS a. Reflected b. Stored c. Basées sur DOM 4
ATTAQUE DES COMPOSANTS Présentation du principe de l attaque Présentation dans une architecture HEURE 4 ATTAQUE LOGIQUE DE Principe L'APPLICATION - Références Présentation du risque lié à une directes non sécurisées à un objet référence directe à un objet 5
FALSIFICATION DE REQUÊTE INTER-SITE (CSRF) Principe et schéma type de l attaque Présentation des risques HEURE 5 MAUVAISE CONFIGURATION SÉCURITÉ Principe Message d erreur sur une page a) Récupération d informations b) Technologie base : MYSQL,MS-SQL,Oracle c) Technologie serveur web : php, jboss,.net Authentification : erreur différente en cas d erreur sur le login ou le mot de passe 6
VIOLATION DE GESTION D'AUTHENTIFICATION ET DE SESSION Présentation des différents mécanismes d authentification Les plus+ et les moins Présentation de la gestion des sessions HEURE 06 EXPOSITION DE DONNÉES SENSIBLES Fuite d information : a. Analyse des requêtes/réponses b. Fingerprinting des applications Présentation des différentes méthodes de stockage des informations a. Sans chiffrement b. Utilisation md5, sha256 c. Les méthodes pour retrouver ou rejouer des mots de passe 7
HEURE 7 PROTECTION INSUFFISANTE DE LA COUCHE TRANSPORT Rappel sur une communication IP Présentation de la méthode pour écouter le flux Présentation de principe de SSL HEURE 8 REDIRECTION ET RENVOIS NON VALIDÉS CONSEILS EN DÉVELOPPEMENT SÉCURISÉ ET RAPPEL DES PRINCIPES Présentation du principe Présentation des risques Exemple de formulaire vulnérable Conseils et synthèse des bonnes pratiques Non 8
du parcours complet Certilience «Sécurité des applications Web» 9
Bérangère THEVENET, Chargée de développement bthevenet@certilience.fr - 07 85 84 34 09 SIEGE LYON : Immeuble «Les Lauriers», 513 rue sans souci 69760 LIMONEST AGENCE ARCHAMPS : Bât Europa Entrée 03, 74, rue Louis Rustin 74160 ARCHAMPS 10