Actions collectives - Se former sans impacter son budget formation pour les adhérents AGEFICE  ou FAFIEC.
Sécurité des applications Web | REF ESSE013 | 3 jours

 

Formation et cours sur l'infrastructure Serveur Windows à Paris

Préparez votre projet de formation.
OBJECTIFS PEDAGOGIQUES :

L’intrusion sur les serveurs de l’entreprise représente un risque majeur. Il est essentiel de comprendre et d’appliquer les technologies et les produits permettant d’apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d’un service en ligne à partir d’exemples concrets d’attaques et de ripostes adaptées. L’intrusion sur les serveurs de l’entreprise représente un risque majeur. Il est essentiel de comprendre et d’appliquer les technologies et les produits permettant d’apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d’un service en ligne à partir d’exemples concrets d’attaques et de ripostes adaptées.

CONTENU DE LA FORMATIONCOMPRIS DANS LA FORMATIONTARIFS & DATESSE RENSEIGNER
Prérequis
Connaissance de base des réseaux TCP/IP et de la navigation Internet.

Public
Ce cours s’adresse aux techniciens réseaux, responsables SI et toutes personnes impliquées dans la sécurité des réseaux informatiques. 

Sécurité des applications Web

Introduction

  • Présentation du contexte en quelques chiffres.
  • Le projet « honeynet » et ses enseignements.
  • Les attaques les plus courantes.
  • L’évolution des attaques, l’adaptation de celles-ci aux techniques de sécurité.

Constituants d’une application Web

Quels sont les éléments que l’on trouve dans une application N-tiers.

  • Le serveur frontal HTTP, son rôle et ses faiblesses.
  • L’apport d’un serveur Middleware.
  • Le serveur de données, un élément devenu indispensable.
  • Le principe de fonctionnement.
  • Les risques intrinsèques de ces compo­sants.
  • Les acteurs majeurs du marché.

Le protocole HTTP en détail

Rappels sur connexion TCP, http, persis­tance et pipelining.

  • Les PDUs GET, POST, PUT, DELETE.
  • Les options HEAD et TRACE.
  • Les champs de l’en-tête, les codes de status 1xx à 5xx.
  • Redirection, hôte virtuel, proxy cache et tunneling.
  • Les cookies, les attributs, les options associées.
  • Les authentifications (Basic, Improved Digest…).
  • L’accélération http, proxy, le Web balancing, l’équilibrage de charges.
  • Installation et utilisation de l’analyseur réseau Ethereal.
  • Utilisation d’un proxy spécifique Achille.

Les risques inhérents aux services Web

  • Pourquoi les services Web sont-ils plus exposés ?
  • SQL Injection, une attaque très répandue.
  • Comprendre la mécanique des attaques par débordement de pile (Buffer Overflow).
  • Code Red, détail du fonctionnement.
  • Vol de session par cookie poisonning.
  • Manipulation des champs et risques associés.
  • Cross Site Scripting ou l’attaque d’un site par ses utilisateurs.
  • Failles internes aux logiciels commerciaux.
  • Exploitation de la faille « Unicode ».
  • Contournement d’une authentification par SQL Injection.
  • Cookie et vol de session.
  • Cross Site Scripting.

Le firewall réseau dans la protection d’application HTTP

  • Le firewall réseau, présentation de son rôle et de ses fonctions.
  • Le firewall est-il nécessaire pour la sécu­rité des services Web.
  • Combien de D.M.Z. pour une architec­ture N-Tiers.
  • Pourquoi le firewall réseau n’est pas apte à assurer la protection d’une application Web.

Confidentialité des informations

  • Infrastructure à clé publique, certificats, signature électronique et empreinte numérique.
  • Sécurité du transport d’informations avec HTTPS.
  • Gérer ses certificats serveurs, le standard X509.
  • Quelle autorité de certification choisir ?
  • Dans quel cas être sa propre autorité de certification ?
  • Accélérateurs SSL : comment choisir entre appliance et carte sur serveur.
  • L’unité de mesure TPS : Transactions Par Seconde.

Configuration du système et des logi­ciels

  • La configuration par défaut, le risque majeur.
  • La mise à jour des logiciels, une nécessité absolue.
  • Quelques règles à respecter lors de l’installation d’un système d’exploitation.
  • Linux ou Windows, l’importance du système dans la sécurité d’un service Web.
  • Pourquoi Apache plus que Internet Information Server ?
  • Comment configurer Apache et I.I.S. pour une sécurité optimale ?

Développement sécurisé

  • Sécurité du développement, quel bud­get doit-on y consacrer ?
  • A quel moment intégrer la sécurité dans le cycle de développement ?
  • Le rôle du code côté client, sécurité ou ergonomie ?
  • Le contrôle des données envoyées par le client, la base de la sécurisation de l’application.
  • Comment lutter contre les attaques de type « Buffer Overflow ».
  • Quelles sont les règles de développe­ment à respecter ?
  • Comment lutter contre les risques rési­duels : Headers, URL Malformée, Cookie Poisoning…

L’authentification des utilisateurs

  • Connexion anonyme et authentification applicative : attention danger.
  • Systèmes à mot de passe « en clair «, par challenge, crypté.
  • Les attaques sur mots de passe : du sniffing au brute force.
  • SecurID, une alternative intéressante contre le vol des mots de passe.
  • Les standards PKCS, l’apport de la PKI.
  • Le rôle de l’annuaire LDAP, les profils et habilitations, les ACLs.

Le firewall « applicatif »

  • Le firewall applicatif, une technologie naissante.
  • Différences entre le firewall ‘réseau’ et le firewall ‘applicatif’.
  • Reverse-proxy et firewall ‘applicatif’, détails des fonctionnalités standard.
  • Quels sont les apports de firewall ‘applicatif’ sur la sécurité des sites Web.
  • Comment peut-on insérer un firewall ‘applicatif’ sur un système en production ?
  • Quels sont les acteurs majeurs du marché ?

Supervision de la sécurité

  • La supervision, élément fondamental de la sécurité.
  • Quels sont les composants à auditer ?
  • Comment déterminer les événements à risque ?
  • Alerting et Reporting, essentiels dans l’administration de la sécurité.
  • Les sondes de détection d’intrusions (I.D.S.) sont-elles utiles ?
  • Le contrôle d’intégrité du système de fichiers comme constituant de la plate-forme de supervision.
  • Comment gérer les alertes ?
  • La supervision doit-elle être externalisée ?

Conclusion

  • Architecture de sécurité complète pour un service Web à risque.
  • Le budget approximatif des éléments de sécurité.
  • Web Services, XML Encryption et SOAP, quels risques dans les applications futures
  • SUIVI POST-FORMATION 1 AN
  • SUPPORTS DE FORMATION
  • GUIDE DE BONNES PRATIQUES
INTER-ENTREPRISES : € HT par stagiaire
PARIS
    • 3 décembre 20185 décembre 2018 @ 

INTRAS ET SUR MESURE
Nos consultants vous accompagnent pour adapter ce programme de formation à votre contexte.

Utilisez ce formulaire pour décrire votre projet de formation.


1
Fermer le menu