Formation AppSec pour les développeurs icon

Formation AppSec pour les développeurs

2 jours d’introduction à la sécurisation des applications

Ne subissez plus la sécurité de vos applications, implémentez le modèle security "by design” !

Dans cette formation pratique de 2 jours, niveau intermédiaire, les apprenants acquerront une compréhension des vulnérabilités de la sécurité des applications, y compris la liste du Top 10 OWASP, standard de l'industrie, et apprendront des stratégies pour se défendre contre elles.

Le cours est disponible directement auprès de Claranet Cyber Security et peut être dispensé à titre individuel ou pour votre entreprise. Contactez-nous ci-dessous pour nous faire part de vos besoins.

Very organised and clearly presented. Great having hands-on experience with individuals ready to assist when help is needed

Delegate, Black Hat USA 2016

One of the best classes I have taken in a long time. The contest was on point and kept me engaged. I am new to Cybersecurity after 25 years in App Development and am very pleased with what I have learned

Delegate, Black Hat USA 2016

Really enjoyed the lab and the walkthroughs, it helped expedite the learning process.

Delegate, Black Hat USA 2016

  • Présentation
  • Détails
  • Prérequis

Description de la formation

Le test d’intrusion tend à détecter les vulnérabilités de sécurité à la fin du SDLC et il est alors souvent trop tard pour influencer des changements fondamentaux dans la façon dont le code est écrit.

Cette formation est délivrée pour les développeurs afin de les aider à coder de manière sécurisée car il est plus que jamais essentiel d'introduire la sécurité comme un élément de qualité dans le cycle de développement pour devenir security "by design”.

Objectifs d'apprentissage

Tout au long de cette formation, les développeurs seront en mesure de se mettre sur la même longueur d'onde que les professionnels de la sécurité, de comprendre leur langage, d'apprendre comment corriger les vulnérabilités apprises pendant la formation et de se familiariser avec certaines brèches du monde réel, tel que la brèche "Equifax" en septembre 2017. Diverses études de cas de bug bounty provenant de sites web populaires tels que Facebook, Google, Shopify, Paypal, Twitter, etc. seront discutées et expliqueront les répercussions financières des vulnérabilités de sécurité des applications telles que les SSRF, XXE, injection SQL, problèmes d'authentification, etc.

Les techniques abordées dans cette formation sont principalement axées sur les technologies .NET, Java et NodeJS en raison de leur adoption massive dans diverses entreprises pour la création d'applications web. Cependant, l'approche reste générique et les développeurs issus d'autres langages peuvent facilement saisir et mettre en œuvre les connaissances acquises dans leur propre environnement.

Les participants devront participer à un CTF (Capture The Flag) au cours duquel ils devront identifier des vulnérabilités dans des extraits de code provenant d'applications réelles.

Durée du cours et lieu

La formation dure 2 jours et peut être dispensée en présentielle ou à distance.

Langue

Formation dispensée en anglais.

Certification supplémentaire

Check Point Certified Pen Testing Expert (CCPE).

Au programme

Il s'agit d’une formation très pratique qui s'adresse aux développeurs web, aux pentesters et à toute personne souhaitant écrire du code sécurisé ou vérifier le code contre les failles de sécurité. La formation couvre une variété de meilleures pratiques de sécurité et d'approches de défense approfondies dont les développeurs devraient être conscients lors du développement d'applications. Celle-ci aborde également certaines techniques rapides que les développeurs peuvent utiliser pour identifier divers problèmes de sécurité tout au long du processus de révision du code.

Les participants peuvent accéder à notre HackLab qui est truffé de multiples vulnérabilités. Ils bénéficieront de démonstrations et d'exercices pratiques sur les vulnérabilités afin de mieux comprendre et appréhender les problèmes, puis de diverses techniques et recommandations sur la manière de les corriger. Bien que le cours couvre les normes de l'industrie telles que le top 10 de l'OWASP et le top 25 des problèmes de sécurité du SANS, il couvre aussi divers problèmes du monde réel tels que les failles d'autorisation.

Module 1 - Bases de la sécurité des applications
Module 2 - Comprendre le protocole HTTP
Module 3 - Mauvaises configurations de sécurité
Module 4 - Journalisation et surveillance insuffisante
Module 5 - Défauts d'authentification
Module 6 - Techniques de contournement des autorisations
Module 7 - Cross Site Scripting (XSS)
Module 8 - Falsification de requêtes inter-sites (CSRF)

Module 9 - Falsification de requête côté serveur (SSRF)
Module 10 - Injection SQL
Module 11 - Attaques par entité externe XML (XXE)
Module 12 - Téléchargements de fichiers non sécurisés
Module 13 - Vulnérabilités de désérialisation
Module 14 - Problèmes de sécurité côté client
Module 15 - Examen du code source
Module 16 - DevSecOps

Qui devrait participer

Cette formation est idéale pour les développeurs de logiciels/web, les développeurs PL/SQL, les auditeurs sécurité, les administrateurs, les DBA et les responsables de la sécurité. Une expérience préalable des tests d'intrusion n'est pas obligatoire, mais une certaine connaissance des services Cloud et une familiarité avec les lignes de commande courantes seront bénéfiques.

Configuration

Les participants doivent apporter leur propre ordinateur portable avec la dernière version de Java (JDK) installée. Ils auront accès à notre laboratoire en ligne : HackLab, qui a été construit sur le dernier framework .NET ASPX, ainsi qu'à tous les outils et matériels requis pendant le cours.

Echanger avec un expert formation

We hack. We teach.

Nous sommes reconnus pour nos recherches sur les menaces de sécurité les plus récentes, et cette connaissance enrichit en permanence tous nos travaux en matière de cyber sécurité. Ce que nous apprenons des tests d'intrusion sur le terrain alimente nos formations, et inversement. Tout le monde y gagne !

Nos formations pour approfondir vos connaissances

Cours basés sur notre expertise et rédigées par des formateurs Black Hat.

Ces formations sont idéales pour ceux qui effectuent des tests d'intrusion sur des infrastructures ou des applications web dans le cadre de leur travail quotidien et qui souhaitent compléter leurs compétences existantes.

Nos certifications

Crest
Cyber essentials
PCI qdivalified security assessor
Check penetration testing
ISO 27001
CCISO Accreditation
CISSP Accreditation
CRISC Accreditation
OSCE Accreditation
OSCP Accreditation
CEH Accreditation