Logo OWASP Top 10

Formation OWASP Top 10

Cette formation a pour but de sensibiliser les développeurs et développeuses à la sécurité Web. Pendant ces deux jours, vous vous familiariserez avec les failles de sécurité Web les plus courantes et vous apprendrez comment vous en prémunir. La formation, qui s'articule autour de l'OWASP Top 10 2021, sera ponctuée de cas d'études et d'ateliers sur des applications Web volontaires vulnérables.

Objectifs pédagogiques / Compétences visées

  • Découvrir les 10 failles de sécurité web principales référencées par OWASP
  • Mettre en oeuvre des solutions de protection

Pré-requis

  • Fondamentaux du Web (HTTP, HTML, JavaScript)

Public

  • Développeurs
  • Chefs de projets

Programme

Jour 1

A01:2021 - Contrôles d'accès défaillants

  • Redirection ouverte
  • Référence directe non sécurisée à un objet (IDOR)
  • Missing function-level access control
  • Attaque par traversée de répertoires
  • Falsification de requête inter-site (CSRF)
  • Détournement de clic
  • Mauvaise configuration du Cross-Origin Resource Sharing (CORS)
  • APIs exposant trop de données au client
  • Ressources sensibles non protégées
  • Secrets codés en dur côté client
  • Présence de fichiers sensibles dans le web root
  • Répertoire .git déployé par erreur

A02:2021 - Défaillances cryptographiques

  • Protection de la vie privée dès la conception
  • Chiffrement en transit : HTTPS et TLS
  • Attaque de l'intercepteur (passif ou actif)
  • HTTP Strict Transport Security (HSTS)
  • Chiffrement des données sensibles au repos
  • Secrets codés en dur dans le code source
  • Entropie insuffisante (clés privées faibles, etc.)
  • Utilisation d'algorithmes cryptographiques inappropriés
  • Stockage des mots de passe non sécurisé
  • Absence de vérification d'une signature numérique (ex : JWTs)

A03:2021 - Injection

  • Assainissement des entrées utilisateur·trice uniquement côté client
  • Affectation de masse
  • Cross-Site Scripting (XSS)
  • Injection de HTML
  • Injection de (No)SQL
  • Injection de code ou de commandes
  • Vulnérabilité liées au téléchargement de fichiers

A04:2021 - Conception non sécurisée

  • Messages d'erreurs trop détaillés
  • Isolation insuffisante entre tierces parties
  • Le mouvement DevSecOps

A05:2021 - Mauvaise configuration de sécurité

  • Resources sensibles non-protégées
  • Utilisation de mots de passe par défaut
  • Présence de mots de passe dans des fichiers de configurations
  • Listage de répertoires activé
  • Insecure default configuration settings
  • Entêtes de sécurité HTTP insuffisants
  • Attributs de sécurité des cookies insuffisants
  • Permissions pour stockage cloud trop laxes (e.g. open S3 buckets)

Jour 2

A06:2021 - Composants vulnérables et obsolètes

  • L'importance de l'inventaire
  • Nomenclature
  • Attaque de la chaîne logistique
  • Politique de mise à jour
  • Analyse de composition logicielle (ex : Snyk)

A07:2021 - Identification et authentification de mauvaise qualité

  • Bourrage d'identifiants
  • Politique de mots de passe trop faible
  • Gestion de sessions non sécurisée
  • Questions de récupération
  • Authentification à facteur multiple
  • Récupération de mots de passe non securisée

A08:2021 - Manque d'intégrité des données et du logiciel

  • Téléchargement de code source non sécurisé non suivi d'une vérification d'intégrité
  • Mise à jour automatique
  • Vérouillage des versions
  • Subresource Integrity

A09:2021 - Carence des systèmes de contrôle et de journalisation

  • Journalisation insuffisante
  • Journalisation excessive
  • Ecriture de données sensibles dans les journaux
  • Injection dans les journaux

A10:2021 - Falsification de requête côté serveur (SSRF)

  • Exfiltration de données sensibles par proxification de requêtes malveillantes à travers un serveur de confiance

Moyens pédagogiques et techniques

  • Formateur validé par nos équipes techniques et pédagogiques
  • Salle de formation informatisée
  • Support de cours numérique

Suivi et appréciation des résultats

  • Questions orales ou écrites (QCM)
  • Exercices pratiques
  • Formulaires d'évaluation
Dernière modification le 10/01/2023