Mettre en oeuvre la sécurité pour protéger vos applications web
Programme
Les applications Web et les menaces
- Comment fonctionne le Web : DNS / HTTP / TLS
- Comment fonctionnent les applications « single-page »
- KYA : « Know Your Attacker ». Connaitre votre attaquant
- Menaces : Man In The Browser / Distribution de Malwares / Advanced Persistent Threat / Ransomware
- Risques
Les vulnérabilités
- Les vulnérabilités présentées ci-dessous seront expérimentées par les stagiaires sous forme d’atelier « ethical hacking » sur une application volontairement vulnérable
- Injection de code
- Injection SQL
- « Broken Authentication and Session Management »
- « Reflected XSS », « Persistent XSS » and « DOM XSS »
- « Insecure Direct Object Reference »
- Erreurs de configuration
- Exposition de données sensibles
- Vérifications insuffisantes des données échangées
- « Cross-Site Request Forgery »
- Utilisation de composants vulnérables
- Redirections non validées
« Single-Page Application » et sécurité des APIs REST
- DOM XSS
- Validation client vs. Validation API
- Fuites et accès non autorisées aux ressources de l’API
- Fuite du token d’authentification
TLS, authentification et authentification forte
- Choix des algorithmes cryptographiques à utiliser
- Authentification avec certificat client et PKCS#11
- Authentification avec « One-Time Password »
ModSecurity
- Mise en place de ModSecurity
- Edition et gestion des règles ModSecurity
- Système de « scoring » ModSecurity
- Le « virtual patching » avec ModSecurity
« Monitoring » sécurité avec ModSecurity et Splunk
- Corrélation d’évènements
- Création de dashboards
