Wishtack

Making Your Wishes Come True

GET IN TOUCH

Formation Sécurité des Applications Web et Monitoring Sécurité

La sécurité est la préoccupation et la responsabilité de tous, en particulier sur le web où le nombre et la complexité des menaces ne cessent de croitre.

Cette formation vous apprendra à déceler les points faibles de vos applications web, développer de façon sécurisée et corriger vos vulnérabilités. Vous apprendrez également à superviser l’activité de vos applications web afin de détecter et réagir aux tentatives d’intrusion.

{
    durée: 3 jours,
    prix: callUs()
}

Objectifs

  • Découvrir les menaces Web classiques et modernes.

  • Savoir repérer vos points faibles.

  • Savoir corriger vos vulnérabilités et développer de façon sécurisée.

  • Apprendre à mettre en place et exploiter un système de “monitoring” sécurité afin de détecter et réagir aux tentatives d’intrusion.

 

Prérequis

  • Connaissances en développement Web : JavaScript / HTTP / HTML.

 

Programme

Les applications Web et les menaces

  • Comment fonctionne le Web : DNS / HTTP / TLS.

  • Comment fonctionnent les applications “single-page”.

  • KYA : “Know Your Attacker”. Connaitre votre attaquant.

  • Menaces : Man In The Browser / Distribution de Malwares / Advanced Persistent Threat / Ransomware.

  • Risques.

 Les vulnérabilités

Les vulnérabilités présentées ci-dessous seront expérimentées par les stagiaires sous forme d’atelier “ethical hacking” sur une application volontairement vulnérable.

  • Injection de code.

  • Injection SQL.

  • “Broken Authentication and Session Management”.

  • “Reflected XSS”, “Persistent XSS” and “DOM XSS”.

  • “Insecure Direct Object Reference”.

  • Erreurs de configuration.

  • Exposition de données sensibles.

  • Vérifications insuffisantes des données échangées.

  • “Cross-Site Request Forgery”.

  • Utilisation de composants vulnérables.

  • Redirections non validées.

“Single-Page Application” et sécurité des APIs REST

  • DOM XSS.

  • Validation client vs. Validation API.

  • Fuites et accès non autorisées aux ressources de l’API.

  • Fuite du token d’authentification.

TLS, authentification et authentification forte

  • Choix des algorithmes cryptographiques à utiliser.

  • Authentification avec certificat client et PKCS#11.

  • Authentification avec “One-Time Password”.

ModSecurity

  • Mise en place de ModSecurity.

  • Edition et gestion des règles ModSecurity.

  • Système de “scoring” ModSecurity.

  • Le “virtual patching” avec ModSecurity.

“Monitoring” sécurité avec ModSecurity et Splunk.

  • Corrélation d’évènements.

  • Création de dashboards.

 

Contactez-nous sur contact@wishtack.com ou appelez-nous au +33 7 56 78 04 04 pour toutes vos questions et réservations.

Unleash the Power of Webpack in Angular

June 20, 2018

As all Angular developers should already know, Angular CLI is using Webpack under the hood. Fortunately, it’s not too deep and we can reach it without opening the hood (i.e. : ng eject or forking Angular CLI or using a boilerplate). TL;DR: Use Webpack’s require() instead of assets. Why would we do that? Loading assets & cache busting … More Unleash the Power of Webpack in Angular

Handle RxJS Subscriptions Properly Using Rx-Scavenger

May 30, 2018

One of the must tricky parts in Angular (or simply when using RxJS in general) is to handle Observables’ Subscriptions; but don’t panic! There are many ways to handle this properly and we’ll show you around the most common approaches. TL;DR : Use Rx-Scavenger! https://github.com/wishtack/wishtack-steroids/tree/master/packages/rx-scavenger Common Solutions Angular’s async Pipe Using Angular’s async Pipe, it is … More Handle RxJS Subscriptions Properly Using Rx-Scavenger

%d bloggers like this: