Sécurité des applications Web
Formation
A distance
Avez-vous besoin d'un coach de formation?
Il vous aidera à comparer différents cours et à trouver la solution la plus abordable.
Description
-
Typologie
Formation
-
Méthodologie
A distance
-
Dates de début
Dates au choix
L’intrusion sur les serveurs de l’entreprise représente un risque majeur. Il est essentiel de comprendre et d’appliquer les technologies et les produits permettant d’apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d’un service en ligne à partir d’exemples concrets d’attaques et de ripostes adaptées. L’intrusion sur les serveurs de l’entreprise représente un risque majeur. Il est essentiel de comprendre et d’appliquer les technologies et les produits permettant d’apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d’un service en ligne à partir d’exemples concrets d’attaques et de ripostes adaptées.
Les sites et dates disponibles
Lieu
Date de début
Date de début
Les Avis
Les matières
- Réseau
- Messagerie
- Mise en réseau
- Services
- Serveurs
Le programme
Introduction
- Présentation du contexte en quelques chiffres.
- Le projet « honeynet » et ses enseignements.
- Les attaques les plus courantes.
- L’évolution des attaques, l’adaptation de celles-ci aux techniques de sécurité.
Quels sont les éléments que l’on trouve dans une application N-tiers.
- Le serveur frontal HTTP, son rôle et ses faiblesses.
- L’apport d’un serveur Middleware.
- Le serveur de données, un élément devenu indispensable.
- Le principe de fonctionnement.
- Les risques intrinsèques de ces composants.
- Les acteurs majeurs du marché.
Rappels sur connexion TCP, http, persistance et pipelining.
- Les PDUs GET, POST, PUT, DELETE.
- Les options HEAD et TRACE.
- Les champs de l’en-tête, les codes de status 1xx à 5xx.
- Redirection, hôte virtuel, proxy cache et tunneling.
- Les cookies, les attributs, les options associées.
- Les authentifications (Basic, Improved Digest...).
- L’accélération http, proxy, le Web balancing, l’équilibrage de charges.
- Installation et utilisation de l’analyseur réseau Ethereal.
- Utilisation d’un proxy spécifique Achille.
- Pourquoi les services Web sont-ils plus exposés ?
- SQL Injection, une attaque très répandue.
- Comprendre la mécanique des attaques par débordement de pile (Buffer Overflow).
- Code Red, détail du fonctionnement.
- Vol de session par cookie poisonning.
- Manipulation des champs et risques associés.
- Cross Site Scripting ou l’attaque d’un site par ses utilisateurs.
- Failles internes aux logiciels commerciaux.
- Exploitation de la faille « Unicode ».
- Contournement d’une authentification par SQL Injection.
- Cookie et vol de session.
- Cross Site Scripting.
- Le firewall réseau, présentation de son rôle et de ses fonctions.
- Le firewall est-il nécessaire pour la sécurité des services Web.
- Combien de D.M.Z. pour une architecture N-Tiers.
- Pourquoi le firewall réseau n’est pas apte à assurer la protection d’une application Web.
- Infrastructure à clé publique, certificats, signature électronique et empreinte numérique.
- Sécurité du transport d’informations avec HTTPS.
- Gérer ses certificats serveurs, le standard X509.
- Quelle autorité de certification choisir ?
- Dans quel cas être sa propre autorité de certification ?
- Accélérateurs SSL : comment choisir entre appliance et carte sur serveur.
- L’unité de mesure TPS : Transactions Par Seconde.
- La configuration par défaut, le risque majeur.
- La mise à jour des logiciels, une nécessité absolue.
- Quelques règles à respecter lors de l’installation d’un système d’exploitation.
- Linux ou Windows, l’importance du système dans la sécurité d’un service Web.
- Pourquoi Apache plus que Internet Information Server ?
- Comment configurer Apache et I.I.S. pour une sécurité optimale ?
- Sécurité du développement, quel budget doit-on y consacrer ?
- A quel moment intégrer la sécurité dans le cycle de développement ?
- Le rôle du code côté client, sécurité ou ergonomie ?
- Le contrôle des données envoyées par le client, la base de la sécurisation de l’application.
- Comment lutter contre les attaques de type « Buffer Overflow ».
- Quelles sont les règles de développement à respecter ?
- Comment lutter contre les risques résiduels : Headers, URL Malformée, Cookie Poisoning...
- Connexion anonyme et authentification applicative : attention danger.
- Systèmes à mot de passe « en clair «, par challenge, crypté.
- Les attaques sur mots de passe : du sniffing au brute force.
- SecurID, une alternative intéressante contre le vol des mots de passe.
- Les standards PKCS, l’apport de la PKI.
- Le rôle de l’annuaire LDAP, les profils et habilitations, les ACLs.
- Le firewall applicatif, une technologie naissante.
- Différences entre le firewall ‘réseau’ et le firewall ‘applicatif’.
- Reverse-proxy et firewall ‘applicatif’, détails des fonctionnalités standard.
- Quels sont les apports de firewall ‘applicatif’ sur la sécurité des sites Web.
- Comment peut-on insérer un firewall ‘applicatif’ sur un système en production ?
- Quels sont les acteurs majeurs du marché ?
- La supervision, élément fondamental de la sécurité.
- Quels sont les composants à auditer ?
- Comment déterminer les événements à risque ?
- Alerting et Reporting, essentiels dans l’administration de la sécurité.
- Les sondes de détection d’intrusions (I.D.S.) sont-elles utiles ?
- Le contrôle d’intégrité du système de fichiers comme constituant de la plate-forme de supervision.
- Comment gérer les alertes ?
- La supervision doit-elle être externalisée ?
- Architecture de sécurité complète pour un service Web à risque.
- Le budget approximatif des éléments de sécurité.
- Web Services, XML Encryption et SOAP, quels risques dans les applications futures
Avez-vous besoin d'un coach de formation?
Il vous aidera à comparer différents cours et à trouver la solution la plus abordable.
Sécurité des applications Web