La formation consiste à connaître les risques potentiels liés au code et aux fonctionnalités des pages « Web » et à appliquer les différentes techniques de sécurité des applications Internet et des bases de données.

Cette prestation de trois jours s’adresse à des personnes débutantes, intermédiaires ou des développeurs. Des connaissances dans le domaine de la programmation, des bases de données et des systèmes client/serveur sont un plus.

PRÉSENTATION :

La formation consiste à connaître les risques potentiels liés au code et aux fonctionnalités des pages « Web » et à appliquer les différentes techniques de sécurité des applications Internet et des bases de données.

OBJECTIF :

Acquérir les compétences nécessaires pour vérifier les différents aspects des attaques et des défenses afin de maîtriser la sécurité des applications « Web » et des bases de données.

PRINCIPE :

Le principe de la formation mettant en œuvre des solutions « Web » face à des problèmes de sécurité du code informatique, tentera de parcourir les différents concepts de protection face aux risques liés aux attaques et aux intrusions Internet. Chaque étape du programme s’illustre d’exemples réels et s’appuie de mises en situation.

PRÉ-REQUIS :

Cette formation de trois jours s’adresse à des personnes débutantes, intermédiaires ou développeurs. Des connaissances dans le domaine de la programmation, des bases de données et des systèmes client/serveur sont un plus.

DURÉE :

3 jours (15 heures).

PROGRAMME :

Les risques liés aux applications « Web ».

Programme de la première journée : Les vulnérabilités des pages « Web » et les techniques de sécurité

I. L’introduction et les bases de la sécurité

• La théorie de la sécurité des applications « Web ».
• Les concepts de sécurité et les risques à prévenir.

II. Les vulnérabilités des pages « Web »

• Les injections HTML.
• Le prototype d’une injection HTML.
• L’impact d’une XSS sur un site « Web ».
• Les attaques par moteur de recherche.
• La protection des pages « Web ».
• La protection contre les CSRF (XSRF).
• Les virus qui s’installent.

III. La gestion et la sécurité des identifications

• Le cryptage de données.
• L’authentification par cookie.
• L’authentification par session.
• Le transtypage d’une variable.
• Les fonctions de formatage des chaînes de caractères.

IV. La sécurité des formulaires et des téléchargements

• Les formulaires et la messagerie.
• Les techniques de validation des données.
• Le téléchargement de fichiers.
• Le captcha.

V. Les techniques de sécurisations des applications « Web »

• L’attaque par force brute.
• L’hameçonnage.
• Le déni de service.
• La gestion des mots de passe.
• Le chiffrement et les signatures.
• Les pots de miel et les trappes.
• La complication du code source.

Programme de la deuxième journée : La vulnérabilité des bases de données et des protocoles

VI. La vulnérabilité des bases de données

• Les risques associés aux bases de données.
• L’injection SQL.
• L’accès au serveur SQL.
• Les accès secondaires.

VII. Les vulnérabilités et les mesures de sécurité sur les réseaux

• Les techniques et les outils des hackers et des administrateurs réseaux.
• Les repérages et les interceptions des adresses IP.
• Les domaines sur Internet.
• Les types de connexion sur le réseau.
• Les intrusions, les failles système et les conséquences.
• Le phishing et les vulnérabilités des pages Web.
• La sécurité des entreprises.

VIII. Les protocoles, les services réseaux et la sécurité surveillée

• La sécurité surveillée.
• Le trafic DNS.
• Le service DHCP.
• Le protocole TCP/IP et les défauts.
• Le protocole ICMP.
• Le protocole de communication HTTP.
• Le protocole FTP.
• Le protocole POP.
• Le protocole SMTP.
• Le protocole SSH.
• Les failles dans le chiffrement SSL et TLS.
• Les erreurs de transmission.

Programme de la troisième journée : Les mesure de sécurité côté client et côté serveur

IX. Les mesures de sécurité côté client

• La sécurité pour les clients.
• L’exigence de la norme PCI.
• Des transactions sécurisées.
• Les vulnérabilités traditionnelles.
• La protection des informations, de l’utilisateur, et du site Internet.

X. Les mesures de sécurité côté serveur

• Le courrier électronique.
• Le système de fichiers.
• Le Cryptage et le décryptage de données.
• Le système d’exploitation.
• La structure d’une application « Web ».
• L’accès au réseau depuis PHP.
• Le langage PHP et la sécurité du « Web ».
• Les conséquences de l’hébergement.
• La sécurité de la base de données.

XI. L’audit de sécurité

• L’organisation d’un audit de sécurité.
• Le repérage, le listage et le suivi des éléments essentiels des applications « Web ».
• La rédaction d’un audit de sécurité.

• Module 1 : Conception & solutions « Web » : Le plan de conception et la sécurité d’une application « Web ».
• Module 2 : L’initiation et la création d’un site Internet en HTML et CSS.
• Module 3 : L’apprentissage et la création d’un site Internet en HTML5 et CSS3.
• Module 4 : L’apprentissage et la création d’un site Internet en PHP5 sans base de données.
• Module 5 : L’apprentissage et la création d’une application Internet en PHP5 et MySQL.
• Module 7 : L’utilisation d’un outil de développement intégré pour le « Web ».
• Module 8 : L’accessibilité numérique.