SECUWEB – Sécurité des serveurs et des applications Web 5 jours / 35 heures - Horaires : Du lundi au jeudi : de 9h30 à 12h et de 13h30 à 17h30/18h00. Le vendredi : de 09h30 à 12h et de 13h30 à 17h00/17h30.

Apprendre à concevoir, programmer, sécuriser et auditer ses sites et applications web.

L’infrastructure Web expose directement votre société aux menaces externes.

Renforcez vos défenses en sécurisant efficacement tous les vecteurs exploités par les attaquants !

S'inscrire
Télécharger la fiche de cette formation

Bon à savoirsur cette formation

Objectifs Pré-requis Méthode pédagogique Public visé Certification Matériel Formateurs
  • Comprendre les vulnérabilités les plus fréquentes du web
  • Analyser les risques encourus
  • Dresser un diagnostic complet de sa sécurité
  • Appliquer les contre-mesures effectives
  • Maîtriser le processus de développement
  • Aucun prérequis
  • Des notions d'utilisation d'une distribution Linux est un plus
  • Cours magistral avec travaux pratiques et échanges intéractifs
  • Pentesters web
  • Consultants SSI
  • RSSI
  • Développeurs
  • Architectes
  • Administrateurs systèmes
  • A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECUWEB par HS2.
  • Support de cours au format papier en français
  • Ordinateur portable mis à disposition du stagiaire
  • Cahier d'exercices et corrections des exercices
  • Certificat attestant de la participation à la formation
Matthieu Caron
Jérôme Naucelle
Vincent Herbulot

Programme du cours

La sécurité du web

  • Les motivations des attaquants
  • Analyse de risques

Architecture sécurisée

  • Le cloisonnement
  • Le bastion
  • Le filtrage
  • La détection
  • Le cloud et la conteneurisation

Les mécanismes du Web

  • Rappels sur HTTP
  • Les méthodes HTTP

La sécurité du navigateur

  • Same Origin Policy
  • Communication « cross-domain »
  • Les entêtes de sécurité

Reconnaissance et fuite d’informations

  • Cartographie et vérification des cibles
  • Le scan de ports
  • L’analyse de l’environnement
  • La cartographie du site
  • Le back office
  • Open Source Intelligence
  • Le scan de vulnérabilités

Les processus d’authentification

  • Les méthodes d’authentification HTTP
  • uni facteur
  • multi facteur
  • Délégation/fédération
  • Le SSO
  • Les attaques sur l’authentification

La gestion des sessions

  • Les jetons de session
  • Les cookies
  • Forge de requêtes inter-sites (CSRF)
  • Fixation de session
  • Forge de jetons de session
  • Le cloisonnement des sessions

Les injections

  • Les injections coté client
  • L’injection XSS
  • Les injections côté serveur
  • Les injections de commandes
  • La SSRF
  • L’injection XXE
  • L’injection SQL
  • Quelques injections moins fréquentes (XPath, LDAP)
  • Les injections via sérialisation/désérialisation

Les injections de fichiers

  • Le téléversement de fichiers
  • Les inclusions de fichiers locaux et distants

La sécurité des communications

  • HTTPS, SSL, TLS
  • Dissection d’une suite cryptographique
  • Les vulnérabilités
  • Recommandations
  • Audits et contrôles
  • La PKI

La sécurité des données stockées

  • Le stockage sécurisé des données sensibles
  • La blockchain
  • Auditer la sécurité des données stockées

Les Webservices

  • Le fonctionnement des Webservices
  • La sécurité des Webservices

Les vulnérabilités plus complexes

  • Tour d’horizon
  • Attaques sur la mémoire (buffer overflow)
  • Heartbleed

La sécurité du serveur

  • Durcissement du socle
  • Durcissement de l’applicatif web

Sécurité et processus de développement

  • Secure SDLC
  • Notions d’analyse de risques projet
  • Développement sécurisé
  • Les tests des fonctions de sécurité
  • La sécurité du produit en production
  • La gestion des vulnérabilités
  • La gestion des patchs

Les autres mesures de sécurité

  • PRA/PCA
  • La gestion des acteurs tierces

Les concepts essentiels développés dans la formation sont illustrés au travers de mises en pratique sur PC permettant d’acquérir des compétences concrètes applicables en entreprise.

S'inscrire à la formation

Session souhaitée



* HS2 traite les données recueillies par le présent formulaire pour traiter vos demandes d’inscription.
** Les champs avec des * sont obligatoires. Les autres informations nous permettent d’améliorer le traitement de votre demande et notre relation client.


Pour en savoir plus et exercer vos droits, consultez notre Politique Vie privée.