contact@ascent-formation.fr +33 9 75 75 37 81 LinkedIn
Visitez notre site web
Logo de l'organisme de formation

La formation au coeur de l'avenir technologique

Représentation de la formation : OWASP - Top 10

OWASP - Top 10

Formation à distance
Durée : 21 heures (3 jours)
Durée :21 heures (3 jours)
HT
Se préinscrire
Durée :21 heures (3 jours)
HT
Se préinscrire
Durée :21 heures (3 jours)
HT
Se préinscrire

Formation créée le 14/10/2022. Dernière mise à jour le 24/01/2024.

Version du programme : 1

Programme de la formation

Objectif de formation : Cette formation permettra aux architectes et développeurs de comprendre les principales vulnérabilités Web, de les corriger et de les prévenir. À travers une série d'exercices pratiques vous mettant à la place d'un testeur de pénétration, vous acquérerez des connaissances sur la façon dont les attaquants exploitent chacune des vulnérabilités du Top 10 de l'OWASP. Tout au long du cours, les étudiants pratiqueront plusieurs méthodes pour couvrir chacune des vulnérabilités, ce qui leur permettra de découvrir les erreurs et de comprendre comment les atténuer.

Objectifs de la formation

  • Comprendre les principales vulnérabilités Web
  • Prévenir les principales vulnérabilités Web
  • Corriger les principales vulnérabilités Web

Profil des bénéficiaires

Pour qui
  • Architectes
  • Développeurs
  • Chefs de projet techniques
Prérequis
  • Introduction à la sécurité des applications
  • Une compréhension de base des 10 risques de sécurité des applications selon l'OWASP
  • Connaissance de base des technologies utilisées dans le développement Web (HTML, Javascript, SQL, etc.)

Contenu de la formation

  • Introduction à l'OWASP
    • Rappel sur le protocole HTTP
    • Architecture des applications Web
    • Présentation de l'OWASP et du Top 10
  • Contrôle d'accès défaillant
    • CORS (Cross-Origin Resource Sharing)
    • Altération des paramètres
  • Défaillances d'identification et d'authentification
    • Attaques par force brute et mots de passe faibles
    • Remplissage de formulaires automatique (Credential Stuffing)
    • SSO (Single Sign-On) et MFA (Multi-Factor Authentication) : mythes de sécurité
  • Injection
    • Injection SQL
    • Validation des données
  • Falsification de requêtes côté serveur (Server-Side Request Forgery)
    • Attaque XXE (XML External Entity)
    • TOCTOU (Race Condition)
    • Segmentation réseau
  • Mauvaise configuration de sécurité
    • Échecs de gestion des erreurs
    • Durcissement de l'environnement
  • Conception non sécurisée
    • DevOps et sécurité
    • Modélisation des menaces
    • Segmentation réseau
  • Défaillances cryptographiques
    • Certificats et canaux sécurisés
    • Sécurité des données au repos
  • Composants vulnérables et obsolètes
    • Évaluations de vulnérabilités et outils
    • Gestion des correctifs
  • Défaillances de l'intégrité des logiciels et des données
    • Dépôts de confiance
    • Cas de l'attaque SolarWinds Sunburst
    • Désérialisation non sécurisée
  • Défaillances de la journalisation et de la surveillance de la sécurité
    • Stockage et format des journaux
    • Gestion des incidents
    • Informatique légale
Équipe pédagogique

Professionnel expert technique et pédagogique

Suivi de l'exécution et évaluation des résultats
  • Feuilles de présence
  • Questions orales ou écrites (QCM)
  • Mises en situation
  • Formulaires d'évaluation de la formation
  • Certificat de réalisation de l’action de formation
Ressources techniques et pédagogiques
  • Espace numérique de travail
  • Documents supports de formation projetés
  • Exposés théoriques
  • Etude de cas concrets
  • Quiz en salle
  • Mise à disposition en ligne de documents supports à la suite de la formation.

Qualité et satisfaction

Taux de satisfaction des apprenants, nombre d'apprenants, taux et causes des abandons, taux de retour des enquêtes, taux d'interruption en cours de prestation...