3 jours (21 heures)
Formation certifiante - Code CNCP : 2232 - Certif Info : 94009
- Présentiel
- Blended - Learning
- FOAD / E-learning tutoré
Objectifs
- Se familiariser avec les outils et techniques utilisés pour exploiter les vulnérabilités des applications Web
- Effectuer des tâches de profilage et des tests de pénétration sur une application Web d’échantillon
- Découvrir les différentes formes d’injection et leurs contre-mesures associées
- Acquérir une expérience pratique lors de la configuration d’IIS pour héberger des applications Web ASP.NET sécurisées
- Utiliser les classes de cryptographie dans Framework.NET pour explorer diverses formes de cryptage et de signature
- Découvrir les différentes formes d’authentification et étudier leurs avantages et inconvénients.
Prérequis
- Une expérience préalable de développement ASP.NET est requise.
- L’expérience avec ASP.NET MVC et Web API est un plus mais pas nécessaire.
Vous n’avez pas les prérequis nécessaires pour la formation Sécurité des aplications Web.Net ? Contactez nous pour étudier ensemble un parcours sur mesure et garantir ainsi la réussite de votre projet.
Intervenants
Les contenus pédagogiques sont synchronisés sur les évolutions techniques grâce à notre équipe d’intervenant experts et professionnels du secteur enseigné. Les formateurs qui interviennent pour animer les formations ont une double compétence : compétence informatique et compétence métier (Banque, Assurance, Administration, Santé, Transport).
PROGRAMME DE FORMATION SÉCURITÉ DES APPLICATIONS WEB.NET
INTRODUCTION
- Impacts commerciaux d’une cyberattaque
- Statistiques de l’industrie
- Facteurs de popularité
- Application Web: points faibles
EXAMEN DE HTTP
- En-têtes
- Verbes
- Etat
- Les requêtes
- Analyseurs de protocole
- OWASP TOP TEN
- Explication de la liste de l’OWASP Top Ten
ETUDES DU PROFILING
- Profiling organisationnel
- Profiling d’infrastructure
- Footprinting, Scanner et FingerPrinting
- Profiling de l’application
- Contre-mesures
CRYPTOGRAPHIE
- Cryptage symétrique
- Cryptage asymétrique
- Fonctions de hachage cryptographique
- Codes d’authentification des messages Keyed-Hash (HMAC)
- Signatures numériques
- Certificats numériques
- SSL, TLS et HTTPS
INJECTION
- Injection SQL
- ASP.NET ViewState
- Contre-mesures
PRINCIPES DE BASE DE L’AUTHENTIFICATION
- Types d’accréditation
- Authentification à deux facteurs
- Identité dans IIS
- Authentification anonyme IIS
PROTOCOLES D’AUTHENTIFICATION
- Authentification de base http, HTTP Digest, Windows, du certificat client, des formulaires
- Authentification clé pré-partagée, par jeton
OAUTH 2.0
- Les rôles
- Types de clients
- Gérer les accès
- Jeton d’accès
- OpenID Connect
- IdentityServere
IDENTITÉ ASP.NET
- OWIN
- Modèles Visual Studio
AUTORISATION
- Autorisation NTFS
- Autorisation basée sur URL
- Autorisation de niveau d’application
VULNÉRABILITÉS D’APPLICATION
- Gestion des sessions
- Cross-Site Scripting (XSS)
- Références d’objets directs
- Exposition de données sensibles
- Contrôle d’accès au niveau de fonction
- Cross-Site Request Forgery (CSRF)
- Vulnérabilités de plate-forme
- Validation des redirections
SÉCURITÉ IIS
- Réduction de la surface d’attaque
- Configuration pour le moins de privilège possible
- ISAPI et CGI
- Types MIME
- Adresse IP et restrictions de domaine
Une attestation d’assiduité sera délivrée après la validation de toutes les compétences de ce module.
POUR TOUTE DEMANDE DE RENSEIGNEMENT OU DE DEVIS