- Savoir d'où provient la menace dans une application web
- Comprendre ce qu'apporte le protocole HTTPS en termes de sécurité
- Comprendre les vulnérabilités du TOP 10 OWASP et savoir les éviter
- Connaitre les menaces générées par les architectures basées sur des API
- Savoir où trouver de l'information pour développer de façon sécurisée
- Intégrer la démarche Security by Design lors des développements
- Développeurs
- Administrateurs
- Responsables sécurité des SI
- Chefs de projets informatique
- Ingénieurs
- Développeurs
- Web masters
- Avoir des connaissances de base en systèmes, réseaux et Internet.
1. Introduction à l'Open Web Application Security Project
- Rappels juridiques
- Comprendre la menace
- KALI Linux
- Tour d'horizon des outils
- Le processus de déroulement d'une attaque
2. Le protocole HTTP/S
- Verbes, En-têtes et Corps
- TLS et SS
- Les attaques sur le protocole HTTPS
- Les certificats
- Les en-têtes de sécurité
3. Le web comme source d'information
- Qu'est-ce que l'OWASP, les TOP 10
- Qu'est-ce que CWE, le TOP 25
- Le référentiel des vulnérabilités CVE
- La gravité d'une vulnérabilité CVSS
- Bienvenue chez les scripts kiddies
4. Le développement sécurisé
- Les outils
- Le Security by design appliqué au développement
- Modifier sa façon de développer en pensant comme un attaquant
5. Le Top 10 Web
- A1 Les injections
- A2 La mauvaise gestion de l'authentification
- A3 L'exposition de données sensibles
- A4 Les attaques sur le langage XML
- A5 Contrôle d'accès insuffisant
- A6 Mauvaise configuration de composants
- A7 Prise de contrôle du navigateur
- A8 Utilisation non sécurisée des fonctions de désérialisation
- A9 Utilisation de composants avec des vulnérabilités connues
- A10 Traces ou monitoring insuffisants ou absents
- CSRF (optionnel, retiré dans la version 2017)
- Redirection arbitraire (optionnel, retiré dans la version 2017)
6. Le Top 10 API
- Vue d'ensemble
- API3 : Exposition excessive de données
- API6 : Modification de données non documentées
- API9 : Exposition de services
Niv. 1 - Acquisition de savoir
Les formateurs de Docaposte Institute sont des experts de leur domaine, disposant d'une expérience terrain qu'ils enrichissent continuellement. Leurs connaissances techniques et pédagogiques sont rigoureusement validées en amont par nos référents internes.
- Apports des connaissances communes.
- Mises en situation sur le thème de la formation et des cas concrets.
- Méthodologie d'apprentissage attractive, interactive et participative.
- Equilibre théorie / pratique : 60 % / 40 %.
- Supports de cours fournis au format papier et/ou numérique.
- Ressources documentaires en ligne et références mises à disposition par le formateur.
- Pour les formations en présentiel dans les locaux mis à disposition, les apprenants sont accueillis dans une salle de cours équipée d'un réseau Wi-Fi, d'un tableau blanc ou paperboard. Un ordinateur avec les logiciels appropriés est mis à disposition (le cas échéant).
En amont de la formation
- Recueil des besoins des apprenants afin de disposer des informations essentielles au bon déroulé de la formation (profil, niveau, attentes particulières...).
- Auto-positionnement des apprenants afin de mesurer le niveau de départ.
A la fin de la formation
- Auto-positionnement des apprenants afin de mesurer l'acquisition des compétences.
- Evaluation par le formateur des compétences acquises par les apprenants.
- Questionnaire de satisfaction à chaud afin de recueillir la satisfaction des apprenants à l'issue de la formation.
- Questionnaire de satisfaction à froid afin d'évaluer les apports ancrés de la formation et leurs mises en application au quotidien.
