Introduction à la sécurité des applications Web
Réf. 187012
Ce cours axé sur la pratique discute la sécurité des applications Web en se fondant sur le Top 10 de la fondation OWASP.
- Durée : 10 semaines
- Effort : 40 heures
- Rythme: ~4 heures/semaine
- Langues: NA
Ce que vous allez apprendre
À la fin de ce cours, vous saurez :
- Décrire les risques de sécurité liés aux applications Web.
- Expliquer les risques de sécurité les plus importants décrits dans le projet Top 10 de OWASP, édition 2021.
- Effectuer une injection SQL et XSS.
- Remédier une injection SQL et XSS.
- Identifier les problèmes de sécurité liés à l'authentification et l'autorisation.
- Vérifier la complexité d'un mot de passe.
- Vérifier si le système d'autorisation d'une application est complet.
- Décrire ce que sont les données sensibles et le RGPD.
- Identifier l'information nécessaire pour la conception d'une application d'une manière sécurisée.
Description
Ce cours propose une initiation à la sécurité des applications web. Il présente les risques les plus courants pour de telles applications. Pour la présentation le cours suit les risques évoqués dans l'édition 2021 du projet Top 10 de la fondation OWASP, qui est la référence reconnue dans le domaine de la sécurité. Le cours est conçu pour être pratique. La plupart du temps est consacrée aux TPs qui sont présents dans chaque rubrique thématique. Le public visé est celui des étudiants de master ayant suivi un cursus informatique ou MIAGE.
Format
Ce cours est conçu pour être pratique. Son volume théorique est environ 20-30%. La plupart du temps est consacrée aux TPs qui sont présents dans chaque rubrique thématique. Les TPs sont de 2 catégories - certains nécessitent un travail en classe, d'autres s'appuient sur un travail réalisé en indépendance (et matérialisé par un rapport). Les TPs utilisant les applications Webgoat, DVWA et Juiceshop sont modulables en taille - il suffit de supprimer ou au contraire de rajouter des exercices à faire.
Prérequis
Ce cours nécessite des connaissances préalables dans le domaine de la programmation des application web, plus particulièrement une connaissance opérationnelle d'un framework backend de développement web.
Evaluation et Certification
Pour l'évaluation du module, on suggère s'appuyer sur des compte-rendus des TPs en classe, ainsi que sur le travail fait individuellement. Ce travail peut être noté soit directement par l'enseignant, soit par les pairs dans le cadre d'un atelier ou présentation en classe.
Plan de cours
- Sécurité des applications Web
OWASP Top - 10
TP1 : Installation des outils
- Introduction
Injections SQL
Autres types d'injections
TP2a : détection et exploitation des injections SQL
TP2b : remédiation des injections SQL
- Introduction
Remédiation des vulnérabilités XSS
TP3 : Exploitation et remédiation des injections XSS
- Description et remédiation
Mots de passe
TP4 : brute-forcing des mots de passe
- Autorisation
TP5 : Autorisation
- Donnée privée, contexte, manipulation
RGPD
Métadonnées
TP6 : Recensement des donnés sensibles
- Mauvaise configuration
Composants vulnérables
TP7: Recensement des composants
- Présentation
TP8 : Description d'une attaque
- Conclusion
