Formation OWASP Top 10
Cette formation a pour but de sensibiliser les développeurs et développeuses à la sécurité Web. Pendant ces deux jours, vous vous familiariserez avec les failles de sécurité Web les plus courantes et vous apprendrez comment vous en prémunir. La formation, qui s'articule autour de l'OWASP Top 10 2021, sera ponctuée de cas d'études et d'ateliers sur des applications Web volontaires vulnérables.
Objectifs pédagogiques
- Découvrir les 10 failles de sécurité web principales référencées par OWASP
- Mettre en oeuvre des solutions de protection
Pré-requis
- Fondamentaux du Web (HTTP, HTML, JavaScript)
Public
- Développeurs
- Chefs de projets
Programme
Jour 1
A01:2021 - Contrôles d'accès défaillants
- Redirection ouverte
- Référence directe non sécurisée à un objet (IDOR)
- Missing function-level access control
- Attaque par traversée de répertoires
- Falsification de requête inter-site (CSRF)
- Détournement de clic
- Mauvaise configuration du Cross-Origin Resource Sharing (CORS)
- APIs exposant trop de données au client
- Ressources sensibles non protégées
- Secrets codés en dur côté client
- Présence de fichiers sensibles dans le web root
- Répertoire .git déployé par erreur
A02:2021 - Défaillances cryptographiques
- Protection de la vie privée dès la conception
- Chiffrement en transit : HTTPS et TLS
- Attaque de l'intercepteur (passif ou actif)
- HTTP Strict Transport Security (HSTS)
- Chiffrement des données sensibles au repos
- Secrets codés en dur dans le code source
- Entropie insuffisante (clés privées faibles, etc.)
- Utilisation d'algorithmes cryptographiques inappropriés
- Stockage des mots de passe non sécurisé
- Absence de vérification d'une signature numérique (ex : JWTs)
A03:2021 - Injection
- Assainissement des entrées utilisateur·trice uniquement côté client
- Affectation de masse
- Cross-Site Scripting (XSS)
- Injection de HTML
- Injection de (No)SQL
- Injection de code ou de commandes
- Vulnérabilité liées au téléchargement de fichiers
A04:2021 - Conception non sécurisée
- Messages d'erreurs trop détaillés
- Isolation insuffisante entre tierces parties
- Le mouvement DevSecOps
A05:2021 - Mauvaise configuration de sécurité
- Resources sensibles non-protégées
- Utilisation de mots de passe par défaut
- Présence de mots de passe dans des fichiers de configurations
- Listage de répertoires activé
- Insecure default configuration settings
- Entêtes de sécurité HTTP insuffisants
- Attributs de sécurité des cookies insuffisants
- Permissions pour stockage cloud trop laxes (e.g. open S3 buckets)
Jour 2
A06:2021 - Composants vulnérables et obsolètes
- L'importance de l'inventaire
- Nomenclature
- Attaque de la chaîne logistique
- Politique de mise à jour
- Analyse de composition logicielle (ex : Snyk)
A07:2021 - Identification et authentification de mauvaise qualité
- Bourrage d'identifiants
- Politique de mots de passe trop faible
- Gestion de sessions non sécurisée
- Questions de récupération
- Authentification à facteur multiple
- Récupération de mots de passe non securisée
A08:2021 - Manque d'intégrité des données et du logiciel
- Téléchargement de code source non sécurisé non suivi d'une vérification d'intégrité
- Mise à jour automatique
- Vérouillage des versions
- Subresource Integrity
A09:2021 - Carence des systèmes de contrôle et de journalisation
- Journalisation insuffisante
- Journalisation excessive
- Ecriture de données sensibles dans les journaux
- Injection dans les journaux
A10:2021 - Falsification de requête côté serveur (SSRF)
- Exfiltration de données sensibles par proxification de requêtes malveillantes à travers un serveur de confiance
Méthodes mobilisées
- Un formateur validé par nos équipes techniques et pédagogiques sera présent pendant toute la durée de la formation
- Pour les formations en présentiel, une salle de formation sera mise à disposition et équipée d'ordinateurs portables, d'un accès Wi-Fi, d'un projecteur et d'un tableau blanc. En distanciel la session sera suivie sur Zoom ou autre outil de visioconférence sur demande (Teams, Webex, Google Meet...).
- Un support de cours en version numérique sera remis à chaque participant
Modalités d’évaluation
- Questions orales ou écrites (QCM)
- Exercices pratiques
- Auto-positionnement en amont et aval de la formation
Accessibilité aux personnes handicapées
Nous nous engageons à rendre notre formation OWASP Top 10 accessible aux personnes en situation de handicap. Merci de nous contacter afin que nous puissions réaliser les adaptations nécessaires en amont de la formation.Avis
Philippe G.
Jingyi L.
Ludovic R.
Saifeddin D.
Laurent L.
Quentin T.
Chayma B.
Seddik B.
Saif L.
Khaoula E.
Mouna B.
Nawres G.
Les +
les exercices
Sara B.
Mouna N.
Aymen C.
Frédéric C.
La formation
R.A.S, tres instructif, mais tres dense sur deux jours.
Le formateur
Julien rend agreable à suivre un sujet interessant mais pas forcement toujours si simple quand on n'a pas trop d'experience (ce qui etait mon cas sur le sujet).
Les +
Pauses regulieres, courtes mais necessaires, au regard de la densite du programme.
Florent P.
Patrice M.
Pascale M.
Eric A.
Le formateur
tb
Les +
sensibilisation globale
Matthieu B.
Les +
Disponibilite, pedagogie
Anthony F.
Philippe D.
Intissar Z.
Richard C.
Christophe M.
Pascal R.
Stéphane L.
Florent V.
Abdeljabar M.
Ines B.
Wissem A.
Romain B.
La formation
Bon aperçu des failles et contre-mesures liées au domaine de la sécurité web
Le formateur
Julien est très pédagogue et maitrise parfaitement son sujet
Amel T.
Thouraya A.
Nizar T.
Sarra S.
La formation
Formation assez courte , plein de nouvelle notion qui nécessite plus de temps et de pratique
Torbjorn S.
Henrik D.
Erik L.
Kostianty K.
Niklas D.
Samuel H.
Samuel B.
Yosra G.
Pascal H.
La formation
Souvent dans les travaux pratiques proposées j'avais du mal à identifier les scénarios pour arriver à la faille de sécurité identifiée.
il serait utilie de préciser ces scenarios (les acteurs et manipulations qu'ils opèrent) pour une meilleur compréhension.
Julien D.
Thibault B.
Gabriel G.
Thierry L.
La formation
J'aurai apprécié des exercices pratiques proches de notre pile technologique. Par exemple, il aurait été intéressant de "jouer" avec des configurations expressjs pour voir l'effet les requêtes/réponse (CORS, redirect, ...)
Le formateur
Trop de slides (247 !) à passer sur une formation de 2 jours. Les 8 dernières menaces ont été passées en revues en moins de 3 heures.
Peut être eu il été préférable de se concentrer sur les menaces plus spécifiques à notre développement et faire l'impasse sur d'autres.
Landry D.
La formation
Formation un peu dense pour 2 jours.
L'aspect pratique est vraiment très bien fait avec le site de test.
Dans les points à améliorer j'aurai aimé un focus particulier sur les problemes qui peuvent nous concerner plus directement en plus d'une vue générale de tout les problemes possibles.
Un autre point serait de bien présenter le use case qui permet d'arriver à chaque probleme, parfois l'explication était donnée sans savoir comment la personne attaquée pouvait arriver dans cette situation.
Nabil S.
Stéphane F.
La formation
sujet tres interessant et abordable . Les exercices font utiliser le logiciel burp ce qui permet de le prendre en main dans les 2 jours . c'était une bonne découverte de tout un panel de failles .
Rythme correct
Commentaire général
je ne peux pas dire "opérationnel" , mais "sensibilisé"
Fabrice C.
Commentaire général
Sujet très pointu dont la méconnaissance peut vite conduire à des catastrophes. A recommander vivement !