Package de formations
Digicomp Code SWOA
Web Application Security Deep Dive («SWOA»)
Description de la formation
- Savoir que l'on est tenu à la discrétion, à la confidentialité et au secret vis-à-vis de l'employeur et des clients
- Analyser et développer de nouvelles méthodes d’attaque et des simulations d’attaque
- Prendre en compte les besoins des clients (internes et externes)
- Assurer la cyberrésilience des clients
- Expliquer les attaques complexes sur les applications web et effectuer des attaques de type « proof of concept » pour exploiter activement les vulnérabilités et les failles de sécurité
- Savoir comment appliquer des techniques offensives pour trouver les vulnérabilités et failles de sécurité complexes dans les systèmes, applications ou infrastructures d’entreprises de différentes branches
- Créer et vérifier des instructions concrètes, des normes, des références, des directives et des documentations opérationnelles dérivées des normes habituelles dans le secteur et sur le marché (BSI, NIST, ISO, etc.)
- Effectuer des analyses de sécurité complexes (Web Application Penetration Tests) et documenter les résultats sous la forme d’un rapport avec des conclusions et des recommandations d’action et d’intégration des résultats des analyses dans la pratique
- Appliquer ses connaissances spécialisées pour soutenir un auditeur interne ou externe lors de l’exécution d’audits de sécurité et réalisation autonome de tâches partielles dans le cadre d’audits
Jours 1 et 2
Des études démontrent que plus de 90% des applications web présentent de graves lacunes en matière de sécurité, bien qu’il existe des contre-mesures efficaces pour la plupart des types d’attaques. Les failles se trouvent souvent au niveau de l’architecture, de la logique d’utilisation, du code, des bibliothèques externes ou dans le déploiement et la configuration.
En vous basant sur le top 10 de l’OWASP, vous vous familiariserez avec les méthodes d’attaques sur les applications (web) et découvrirez comment vous en protéger efficacement :
- A01:2021-Broken Access Control
- A02:2021-Cryptographic Failures
- A03:2021-Injection
- A04:2021-Insecure Design
- A05:2021-Security Misconfiguration
- A06:2021-Vulnerable and Outdated Components
- A07:2021-Identification and Authentication Failures
- A08:2021-Software and Data Integrity Failures
- A09:2021-Security Logging and Monitoring Failures
- A10:2021-Server-Side Request Forgery
Jour 3
- Résumé du top 10 de l’OWASP
- Attaques avancées sur les applications web
- Contourner la 2FA en un exemple pratique
- XSS et Clickjacking
- Attaques sur OAuth 2.0
- Parameter Pollution
- Web Cache Poisoning
- Template Injection
- Attaques sur JWT
- Request Smuggling
- Server Side Prototype Pollution
- DOM Based Vulnerabilities
- APIs sécurisées
- Introduction au top 10 de l’OWASP API 2019
- Guide pour une préparation ciblée à l’examen du BSCP
Cette formation comprend de nombreux exercices pratiques soutenus par des parties théoriques. Les exercices sont réalisés sur la base d’études de cas.
Cette formation s’adresse aux expertes et experts en sécurité et futurs testeurs d’intrusion (Penetration Tester).
Des connaissances de base du développement d’applications web, des connaissances d’utilisation des serveurs web, des technologies web de base comme le HTML et Javascript sont nécessaires pour suivre ce cours.