Logo OWASP Top 10

Formation OWASP Top 10

Cette formation a pour but de sensibiliser les développeurs et développeuses à la sécurité Web. Pendant ces deux jours, vous vous familiariserez avec les failles de sécurité Web les plus courantes et vous apprendrez comment vous en prémunir. La formation, qui s'articule autour de l'OWASP Top 10 2021, sera ponctuée de cas d'études et d'ateliers sur des applications Web volontaires vulnérables.

Objectifs pédagogiques / Compétences visées

  • Découvrir les 10 failles de sécurité web principales référencées par OWASP
  • Mettre en oeuvre des solutions de protection

Pré-requis

  • Fondamentaux du Web (HTTP, HTML, JavaScript)

Public

  • Développeurs
  • Chefs de projets

Programme

Jour 1

A01:2021 - Contrôles d'accès défaillants

  • Redirection ouverte
  • Référence directe non sécurisée à un objet (IDOR)
  • Missing function-level access control
  • Attaque par traversée de répertoires
  • Falsification de requête inter-site (CSRF)
  • Détournement de clic
  • Mauvaise configuration du Cross-Origin Resource Sharing (CORS)
  • APIs exposant trop de données au client
  • Ressources sensibles non protégées
  • Secrets codés en dur côté client
  • Présence de fichiers sensibles dans le web root
  • Répertoire .git déployé par erreur

A02:2021 - Défaillances cryptographiques

  • Protection de la vie privée dès la conception
  • Chiffrement en transit : HTTPS et TLS
  • Attaque de l'intercepteur (passif ou actif)
  • HTTP Strict Transport Security (HSTS)
  • Chiffrement des données sensibles au repos
  • Secrets codés en dur dans le code source
  • Entropie insuffisante (clés privées faibles, etc.)
  • Utilisation d'algorithmes cryptographiques inappropriés
  • Stockage des mots de passe non sécurisé
  • Absence de vérification d'une signature numérique (ex : JWTs)

A03:2021 - Injection

  • Assainissement des entrées utilisateur·trice uniquement côté client
  • Affectation de masse
  • Cross-Site Scripting (XSS)
  • Injection de HTML
  • Injection de (No)SQL
  • Injection de code ou de commandes
  • Vulnérabilité liées au téléchargement de fichiers

A04:2021 - Conception non sécurisée

  • Messages d'erreurs trop détaillés
  • Isolation insuffisante entre tierces parties
  • Le mouvement DevSecOps

A05:2021 - Mauvaise configuration de sécurité

  • Resources sensibles non-protégées
  • Utilisation de mots de passe par défaut
  • Présence de mots de passe dans des fichiers de configurations
  • Listage de répertoires activé
  • Insecure default configuration settings
  • Entêtes de sécurité HTTP insuffisants
  • Attributs de sécurité des cookies insuffisants
  • Permissions pour stockage cloud trop laxes (e.g. open S3 buckets)

Jour 2

A06:2021 - Composants vulnérables et obsolètes

  • L'importance de l'inventaire
  • Nomenclature
  • Attaque de la chaîne logistique
  • Politique de mise à jour
  • Analyse de composition logicielle (ex : Snyk)

A07:2021 - Identification et authentification de mauvaise qualité

  • Bourrage d'identifiants
  • Politique de mots de passe trop faible
  • Gestion de sessions non sécurisée
  • Questions de récupération
  • Authentification à facteur multiple
  • Récupération de mots de passe non securisée

A08:2021 - Manque d'intégrité des données et du logiciel

  • Téléchargement de code source non sécurisé non suivi d'une vérification d'intégrité
  • Mise à jour automatique
  • Vérouillage des versions
  • Subresource Integrity

A09:2021 - Carence des systèmes de contrôle et de journalisation

  • Journalisation insuffisante
  • Journalisation excessive
  • Ecriture de données sensibles dans les journaux
  • Injection dans les journaux

A10:2021 - Falsification de requête côté serveur (SSRF)

  • Exfiltration de données sensibles par proxification de requêtes malveillantes à travers un serveur de confiance

Moyens pédagogiques et techniques

  • Formateur validé par nos équipes techniques et pédagogiques
  • Salle de formation informatisée
  • Support de cours numérique

Suivi et appréciation des résultats

  • Questions orales ou écrites (QCM)
  • Exercices pratiques
  • Formulaires d'évaluation

Avis

Seddik B.

le 26 septembre 2023

Saif L.

le 26 septembre 2023

Khaoula E.

le 14 septembre 2023

Mouna B.

le 14 septembre 2023

Nawres G.

le 14 septembre 2023

Les +
les exercices

Sara B.

le 14 septembre 2023

Mouna N.

le 14 septembre 2023

Aymen C.

le 14 septembre 2023

Frédéric C.

le 31 mai 2023

La formation
R.A.S, tres instructif, mais tres dense sur deux jours.

Le formateur
Julien rend agreable à suivre un sujet interessant mais pas forcement toujours si simple quand on n'a pas trop d'experience (ce qui etait mon cas sur le sujet).

Les +
Pauses regulieres, courtes mais necessaires, au regard de la densite du programme.

Florent P.

le 31 mai 2023

Patrice M.

le 31 mai 2023

Pascale M.

le 31 mai 2023

Eric A.

le 31 mai 2023

Le formateur
tb

Les +
sensibilisation globale

Matthieu B.

le 31 mai 2023

Les +
Disponibilite, pedagogie

Anthony F.

le 31 mai 2023

Philippe D.

le 17 mai 2023

Intissar Z.

le 17 mai 2023

Richard C.

le 17 mai 2023

Christophe M.

le 17 mai 2023

Pascal R.

le 17 mai 2023

Stéphane L.

le 17 mai 2023

Florent V.

le 17 mai 2023

Abdeljabar M.

le 31 mars 2023

Ines B.

le 31 mars 2023

Wissem A.

le 31 mars 2023

Romain B.

le 31 mars 2023

La formation
Bon aperçu des failles et contre-mesures liées au domaine de la sécurité web

Le formateur
Julien est très pédagogue et maitrise parfaitement son sujet

Amel T.

le 31 mars 2023

Thouraya A.

le 31 mars 2023

Nizar T.

le 31 mars 2023

Sarra S.

le 31 mars 2023

La formation
Formation assez courte , plein de nouvelle notion qui nécessite plus de temps et de pratique

Torbjorn S.

le 28 mars 2023

Henrik D.

le 28 mars 2023

Erik L.

le 28 mars 2023

Kostianty K.

le 28 mars 2023

Niklas D.

le 28 mars 2023

Samuel H.

le 28 mars 2023

Samuel B.

le 28 mars 2023

Yosra G.

le 24 mars 2023

Pascal H.

le 24 mars 2023

La formation
Souvent dans les travaux pratiques proposées j'avais du mal à identifier les scénarios pour arriver à la faille de sécurité identifiée.
il serait utilie de préciser ces scenarios (les acteurs et manipulations qu'ils opèrent) pour une meilleur compréhension.

Julien D.

le 24 mars 2023

Thibault B.

le 24 mars 2023

Gabriel G.

le 24 mars 2023

Thierry L.

le 24 mars 2023

La formation
J'aurai apprécié des exercices pratiques proches de notre pile technologique. Par exemple, il aurait été intéressant de "jouer" avec des configurations expressjs pour voir l'effet les requêtes/réponse (CORS, redirect, ...)

Le formateur
Trop de slides (247 !) à passer sur une formation de 2 jours. Les 8 dernières menaces ont été passées en revues en moins de 3 heures.
Peut être eu il été préférable de se concentrer sur les menaces plus spécifiques à notre développement et faire l'impasse sur d'autres.

Landry D.

le 24 mars 2023

La formation
Formation un peu dense pour 2 jours.
L'aspect pratique est vraiment très bien fait avec le site de test.

Dans les points à améliorer j'aurai aimé un focus particulier sur les problemes qui peuvent nous concerner plus directement en plus d'une vue générale de tout les problemes possibles.

Un autre point serait de bien présenter le use case qui permet d'arriver à chaque probleme, parfois l'explication était donnée sans savoir comment la personne attaquée pouvait arriver dans cette situation.

Nabil S.

le 16 février 2023

Stéphane F.

le 16 février 2023

La formation
sujet tres interessant et abordable . Les exercices font utiliser le logiciel burp ce qui permet de le prendre en main dans les 2 jours . c'était une bonne découverte de tout un panel de failles .
Rythme correct

Commentaire général
je ne peux pas dire "opérationnel" , mais "sensibilisé"

Fabrice C.

le 16 février 2023

Commentaire général
Sujet très pointu dont la méconnaissance peut vite conduire à des catastrophes. A recommander vivement !

Sébastien L.

le 16 février 2023

Cédric C.

le 16 février 2023

Enis K.

le 16 février 2023

Badreddine B.

le 16 février 2023
Dernière modification le 10/01/2023