Sécurité des applications, services et serveurs Web

Formation #940 - 4 jours

La cybersécurité est un défi, les attaques ciblant précisément les vulnérabilités des applications web. Les entreprises doivent mettre en place des mesures de sécurité strictes dans le processus de développement d'applications Web. Cette formation sécurité Web vous apporte une expérience pratique de la sécurisation d'applications et serveurs hôtes Web.

  • Mettre en œuvre et tester des applications web dans votre entreprise
  • Identifier, diagnostiquer et corriger les 10 principales vulnérabilités définies par l'OWASP
  • Configurer un serveur web pour chiffrer le trafic web avec HTTPS
  • Protéger des applications fonctionnant avec Ajax et prévenir le vol de données JSON et sécuriser les services web XML avec WS-Security

  • Établir des limites de confiance avec la validation des données
  • Éviter les failles de type XSS (Cross-site scripting) et de type cross-site request forgery (CRSF/XSRF)
  • Prévenir les vulnérabilités des injections SQL
  • Mise en place de restrictions d'accès aux URL
  • Détection de modifications non autorisées du système de fichiers

À ceux qui souhaitent mettre en œuvre, tester et déployer des applications web sécurisées.

Des connaissances de base du fonctionnement des applications web et de l'administration de serveurs web sont supposées acquises. Vous devez avoir des connaissances du niveau de la formation 470, Développement d’un site Web. Par exemple, vous devez connaître les navigateurs Web / les opérations serveurs, la gestion des sessions et du code HTML de base. De plus, une expérience en développement Web côté serveur et en cybersecurité seraient utiles.

  • Définir les menaces contre vos atouts web
  • Recueil de données sur la légalité et le droit à la vie privée

Modélisation de la sécurité web

  • Le triangle CIA (Confidentialité, Intégrité et Disponibilité)
  • Authentifications et autorisations

Chiffrement et hachage

  • Différentiation cryptographie à clé publique et à clé privée
  • Vérification de l’intégrité des messages

Configuration de la sécurité pour des services HTTP

  • Gestion des mises à jour de logiciels
  • Restriction des méthodes HTTP

Sécurisation des communications avec SSL/TLS

  • Obtention et installation de certificats de serveurs
  • Mise en place de HTTPS sur le serveur web

Détection de modifications non autorisées du contenu

  • Configuration correcte des permissions
  • Scanner pour détecter les changements du système de fichiers

Utilisation des ressources de l’OWASP

  • Les dix principales vulnérabilités de l’OWASP
  • Identification des risques dans la sécurité

Sécurisation des interactions entre les bases de données et les applications

  • Déceler et empêcher les injections SQL
  • Protection des références d’objets directs

Gestion de l’authentification de sessions

  • Protection contre le détournement de sessions
  • Blocage de la falsification de requêtes inter–sites

Contrôle des fuites d’informations

  • Messages d’erreurs édulcorés sur l’écran de l’utilisateur
  • Gestion des erreurs de requêtes et sur les pages

Validation des saisies

  • Établissement de limites de confiance
  • Déceler et supprimer les menaces de XSS
  • Exposer les dangers de la validation côté client
  • Mettre en œuvre une validation des données côté serveur robuste avec les expressions régulières

Fonctionnalités Ajax

  • Identification des éléments principaux d’Ajax
  • Échange d’informations de façon asynchrone

Évaluation des risques et des menaces

  • Gestion des interactions imprévisibles
  • Identification de vulnérabilités Ajax

Diagnostic des vulnérabilités XML

  • Repérage des balises non terminées et des dépassements de champs, révéler les faiblesses de services web

Protection de l’échange de messages SOAP

  • Validation des saisies avec un schéma XML
  • Chiffrement des échanges avec HTTPS
  • Mise en œuvre d’un cadre de sécurité des services web

Configuration et utilisation de scanners

  • Recherche par motifs pour identifier les erreurs
  • Découverte de vulnérabilités inconnues grâce au « fuzzing »

Détection des défauts dans les applications

  • Scans d’applications à distance
  • Trouver les vulnérabilités dans les applications Web grâce aux outils de test d’intrusion de l’OWASP et de tiers

Adoption des normes

  • Réduction des risques en mettant en œuvre des architectures éprouvées
  • Gestion des données personnelles et financières

Gestion de la sécurité réseau

  • Modélisation des menaces pour diminuer les risques
  • Intégration d’applications à votre architecture réseau

Sessions planifiées inter-entreprises

Inscrivez-vous à une de nos sessions en sélectionnant un mode de suivi :

17 octobre 2017 - 2220 € - À Paris ou À distance
12 décembre 2017 - 2220 € - À Paris ou À distance

Aucune session ne vous convient ? Faites-nous part de vos disponibilités dans votre demande de devis.

Demander un devis

Intra-entreprise

Organisez cette formation Learning Tree sur votre lieu de travail avec notre solution intra-entreprise.

Demander un devis

Crédits ECTS : 10

Formation éligible aux parcours diplômants de SUPINFO International University.

Financez votre formation

  • Programmes Visa Société et Passeport
  • Réduction Return to Learn

Pour en savoir plus, cliquez ici.

Votre formation à distance et en direct

Sans frais supplémentaires, depuis tout lieu possédant une connexion Internet, connectez-vous en temps réel et en direct à une session dispensée par nos formateurs grâce à AnyWare™, la plateforme de formation en distanciel de Learning Tree.

Notre catalogue

Vous souhaitez parcourir toute notre offre de formation ultérieurement ?

Téléchargez notre catalogue

Suivez une formation Learning Tree et profitez des avantages de SUPINFO International University !

Pour toute formation que vous aurez suivi chez Learning Tree, SUPINFO International University vous offre pendant un an le statut Advanced Member d'une valeur de 250€.
Ce statut privilégié vous permettra de profiter de ressources pédagogiques sélectionnées par SUPINFO :

* Services disponibles prochainement.