Sécurité des applications Web.Net

3 jours (21 heures)

Formation certifiante - Code CNCP : 2232 - Certif Info : 94009

  • Présentiel
  • Blended - Learning
  • FOAD / E-learning tutoré
Le programme Sécurité des applications Web.Net
Allez plus loin : développez vos compétences

Objectifs

  • Se familiariser avec les outils et techniques utilisés pour exploiter les vulnérabilités des applications Web
  • Effectuer des tâches de profilage et des tests de pénétration sur une application Web d’échantillon
  • Découvrir les différentes formes d’injection et leurs contre-mesures associées
  • Acquérir une expérience pratique lors de la configuration d’IIS pour héberger des applications Web ASP.NET sécurisées
  • Utiliser les classes de cryptographie dans Framework.NET pour explorer diverses formes de cryptage et de signature
  • Découvrir les différentes formes d’authentification et étudier leurs avantages et inconvénients.

Prérequis

  • Une expérience préalable de développement ASP.NET est requise.
  • L’expérience avec ASP.NET MVC et Web API est un plus mais pas nécessaire.

Vous n’avez pas les prérequis nécessaires pour la formation Sécurité des aplications Web.Net ? Contactez nous pour étudier ensemble un parcours sur mesure et garantir ainsi la réussite de votre projet.

Intervenants

Les contenus pédagogiques sont synchronisés sur les évolutions techniques grâce à notre équipe d’intervenant experts et professionnels du secteur enseigné. Les formateurs qui interviennent pour animer les formations ont une double compétence : compétence informatique et compétence métier (Banque, Assurance, Administration, Santé, Transport).

PROGRAMME DE FORMATION SÉCURITÉ DES APPLICATIONS WEB.NET

Jour 1 : Comprendre les failles de sécurité Web avec le .Net

INTRODUCTION

  • Impacts commerciaux d’une cyberattaque
  • Statistiques de l’industrie
  • Facteurs de popularité
  • Application Web: points faibles

EXAMEN DE HTTP

  • En-têtes
  • Verbes
  • Etat
  • Les requêtes
  • Analyseurs de protocole
  • OWASP TOP TEN
  • Explication de la liste de l’OWASP Top Ten

ETUDES DU PROFILING

  • Profiling organisationnel
  • Profiling d’infrastructure
  • Footprinting, Scanner et FingerPrinting
  • Profiling de l’application
  • Contre-mesures
Jour 2 : Le pen testing d'une application ASP.NET

CRYPTOGRAPHIE

  • Cryptage symétrique
  • Cryptage asymétrique
  • Fonctions de hachage cryptographique
  • Codes d’authentification des messages Keyed-Hash (HMAC)
  • Signatures numériques
  • Certificats numériques
  • SSL, TLS et HTTPS

INJECTION

  • Injection SQL
  • ASP.NET ViewState
  • Contre-mesures

PRINCIPES DE BASE DE L’AUTHENTIFICATION

  • Types d’accréditation
  • Authentification à deux facteurs
  • Identité dans IIS
  • Authentification anonyme IIS

PROTOCOLES D’AUTHENTIFICATION

  • Authentification de base http, HTTP Digest, Windows, du certificat client, des formulaires
  • Authentification clé pré-partagée, par jeton
Jour 3 : Les solutions à déployer pour lutter contre les intrusions

OAUTH 2.0

  • Les rôles
  • Types de clients
  • Gérer les accès
  • Jeton d’accès
  • OpenID Connect
  • IdentityServere

IDENTITÉ ASP.NET

  • OWIN
  • Modèles Visual Studio

AUTORISATION

  • Autorisation NTFS
  • Autorisation basée sur URL
  • Autorisation de niveau d’application

VULNÉRABILITÉS D’APPLICATION

  • Gestion des sessions
  • Cross-Site Scripting (XSS)
  • Références d’objets directs
  • Exposition de données sensibles
  • Contrôle d’accès au niveau de fonction
  • Cross-Site Request Forgery (CSRF)
  • Vulnérabilités de plate-forme
  • Validation des redirections

SÉCURITÉ IIS

  • Réduction de la surface d’attaque
  • Configuration pour le moins de privilège possible
  • ISAPI et CGI
  • Types MIME
  • Adresse IP et restrictions de domaine

Une attestation d’assiduité sera délivrée après la validation de toutes les compétences de ce module.

POUR TOUTE DEMANDE DE RENSEIGNEMENT OU DE DEVIS

CONTACTEZ-NOUS