Workshop Cyber sécurité + EXCEPTIONELLEMENT : Module sensibilisation aux DACK WEB?.

Savoir identifier les vulnérabilités des applications web. Comprendre et analyser l'impact d'attaque cyber dans un environnement WEB au travers d'exemples concrets et d'exercices pratiques. Savoir mettre en place des solutions techniques d'identification d'intrusion et savoir résoudre des situations d'intrusion.

J1 • Rappel des principes de fonctionnement d'une application web • Présentation de l'OWASP et de ses outils : - Top10 - Les vulnérabilités les plus répandues - ASVS- Référentiel d'exigences de sécurité - Owasp Development Guide / Owasp Cheat Sheet - Guides de développement sécurisé - Owasp Testing Guide - Référentiel de test de la sécurité des applications web • Prise en main d'un proxy d'analyse web (Burp) A1 - Injections • Injection SQL • Injection de Commandes J2 - J3 A2 - Gestion de session • Manipulation de cookies. A3 - Cross Site Scripting • Vol de cookie de session par JavaScript A4 - Références directes non sécurisées à un objet • Local File Include A5 - Mauvaise configuration de la Sécurité • Mots de passes par défaut, XXE, etc.. A6 - Exposition de données sensibles • Mots de passes en clair en BDD ou Hashé MD5 sans sel • Exemple d'attaque par dictionnaire sur des mots de passes hashés A7 - Manque de contrôle d'accès au niveau fonctionnel • Exemple de path traversal, pages d'administration sans authentification A8 - Falsification de requête intersite (CSRF) • Exemple de l'exploitation d'une CSRF A9 - Utilisation de composants avec des vulnérabilités connues • Exemple de RCE via une librairie vulnérable (Spring RCE, Rails ActiveRecord...) A10 - Redirections et Renvois Non Validés • Exemple de Phishing au travers d'une redirection non validée suite à une authentification J4 [...]

Attestation