Description
Apprenez en 3 jours à intégrer les recommandations de sécurité OWASP dans les phases de développement d’une application web
CERTIFICATION : Attestation d’Acquisition des Compétences de l’EPITA
PROGRAMME
INTRODUCTION
Concepts génériques liés aux vulnérabilités web
- Exemples réels et conséquences
- Identification des vulnérabilités (CVE)
- Criticité des vulnérabilités (CVSS) et politique de communication par les éditeurs logiciels
Gestion de projets
- Principe de l'analyse de risques (OWASP A04)
- Intégration de la sécurité dans les projets (OWASP A04)
Spécificités de l'hébergement dans le cloud et des offres SAAS (Sofware As A Service)
CONCEPTION
Spécifications fonctionnelles
- Principe de sécurité par défaut (OWASP A04)
- Transparence vs sécurité par l'obscurité
- Protection des données sensibles et concepts cryptographiques (OWASP A02)
- Traçabilité (OWASP A09)
- Fonctionnalités dangereuses
- Gestion des mises à jour (OWASP A06)
Spécifications techniques et implémentation des fonctions de sécurité
- Authentification (OWASP A07)
- Gestion des mots de passe
- Gestion des sessions
- Autorisation / Gestion des droits (OWASP A01)
- Cryptographie appliquée (OWASP 02)
- Gestion des erreurs
PROGRAMMATION (IN)SÉCURISÉE
Vulnérabilités (dont le top 10 de l'OWASP) liées au développement et contre-mesures
- Injections (OWASP A03, OWASP A10) :
- SQL, LDAP
- Commandes système
- Arguments de commandes
- Code interprété
- Cross-site scripting - XSS
- Directory transversal
- ReDos
- Injections XML - XXE (OWASP A05)
- Désérialisation (OWASP A08)
- Cross-site request forgery (CSRF)
OUTILS ET RECETTE DE SÉCURITÉ
Outils et recette sécurité
- Tests manuels de sécurité
- Tests unitaires, audit statique de code
- Configuration de l'environnement (OWASP A05)
- Tests automatisés de sécurité
- Fuzzing et tests d'intrusion applicatifs
Protections au niveau de l'environnement
- Filtrage réseau et NIDS
- Relais et Web Application Firewall (WAF)
