Formation OWASP : Sécurité Web

DÉMARCHE ET OUTILLAGE

• Fondements de la sécurité Web
  • Besoins des applications en matière de sécurité
  • Vue d’ensemble du fonctionnement de HTTP
  • Technologies de sécurité
• Introduction au test d’intrusion Web
  • Définition et importance du test d’intrusion
  • Les étapes d’un test d’intrusion (Reconnaissance, Analyse, Exploitation, Post-exploitation)
• Outillage pour le test d’intrusion Web
  • Présentation des outils courants
    • Burp Suite
    • OWASP ZAP
    • OWASP Amass
• Démonstration pratique de Burp Suite et OWASP ZAP
• Analyse des résultats des outils

VULNÉRABILITÉ COMMUNES DU WEB

• Injection SQL
• Cross-Site Scripting (XSS)
• Cross-Site Request Forgery (CSRF)
• Inclusion de fichiers (LFI/RFI)
• Contrôle d’accès cassé
• Vulnérabilités liées aux sessions
• Démonstrations pratiques et exercices

SÉCURITÉ DES APIS

• Introduction à la Sécurité des APIs
  • Importance de la sécurité des APIs
  • Les types d’APIs (REST, SOAP, GraphQL) et leurs vulnérabilités spécifiques
  • OWASP API Security Top 10
• Tests de Sécurité des APIs
  • Méthodologies de test pour les APIs
  • Outils pour tester les APIs (Postman, Insomnia, OWASP ZAP, etc.)
  • Exemples et démonstrations pratiques

SÉCURITÉ AU QUOTIDIEN ET BONNES PRATIQUES

• Intégration de la sécurité dans le développement quotidien
  • Concepts de Secure Coding
  • Revue de code sécurisé
  • Gestion des dépendances et des mises à jour régulières
  • Sensibilisation à la sécurité : pourquoi et comment ?
• Sensibilisation et Ressources OWASP
  • Présentation des ressources OWASP (Top 10, Cheat Sheets, etc.)
  • Utilisation des ressources OWASP dans le développement quotidien
  • Importance de la formation continue

MODULE COMPLÉMENTAIRE (+1 jour, uniquement en intra)

• PHPStan avec intégration CI/CD
• Brakeman outils d’analyse de code avec Ruby on Rails