Sécurité des Applications Web
Maîtrisez la sécurisation des applications web contre les vulnérabilités OWASP et menaces courantes.
Informations pratiques
- Durée : 40h
- Niveau : Intermédiaire
- Modalité : Visio
Objectifs pédagogiques
- Identifier les vulnérabilités OWASP Top 10
- Exploiter et corriger les failles de sécurité web
- Sécuriser les authentifications et sessions
- Protéger contre les injections et XSS
- Auditer la sécurité d'applications web
Programme de la formation
- OWASP Top 10 (15h)
- Injection (SQL, NoSQL, LDAP, OS) : mécanismes d'attaque et requêtes paramétrées
- Broken Authentication : failles de session, credential stuffing et implémentation sécurisée
- XSS (Cross-Site Scripting) : reflected, stored, DOM-based et stratégies de remédiation
- XXE (XML External Entity) : parsing XML non sécurisé, exfiltration et désactivation DTD
- IDOR (Insecure Direct Object Reference) : accès non autorisé et contrôle d'accès objet
- Security Misconfiguration : headers manquants, erreurs verboses et durcissement serveur
- Sécurité Authentification (10h)
- Gestion des mots de passe : hashing (bcrypt, Argon2), salting et politiques de complexité
- MFA (Multi-Factor Authentication) : TOTP, FIDO2/WebAuthn, SMS et biométrie
- OAuth 2.0 et OpenID Connect : flows d'autorisation, scopes et tokens d'accès
- JWT (JSON Web Tokens) : structure, signature, validation et pièges courants (alg:none)
- Gestion de sessions : cookies sécurisés (HttpOnly, Secure, SameSite) et expiration
- Authentification passwordless : magic links, passkeys et implémentation moderne
- Protection Avancée (10h)
- CSP (Content Security Policy) : directives, nonces, hashes et protection contre XSS
- CORS (Cross-Origin Resource Sharing) : configuration sécurisée et pièges courants
- WAF (Web Application Firewall) : règles de protection, ModSecurity et cloud WAF
- Rate limiting et throttling : protection contre brute force, DDoS applicatif et abus d'API
- API Security : authentification, autorisation, validation de schéma et OWASP API Top 10
- Security headers : HSTS, X-Frame-Options, X-Content-Type et Referrer-Policy
Prérequis
Bases en développement web (HTML, JS, backend)
Public visé
Développeurs web, testeurs, architectes, pentesters
Méthodes pédagogiques
Formation en distanciel (visio) et/ou en présentiel selon les sessions
Évaluation
QCM, exercices pratiques, mise en situation professionnelle, étude de cas, projet final
Accessibilité
Formation accessible aux personnes en situation de handicap. Possibilités d'adaptation pédagogique et technique. Pour toute question concernant l'accessibilité, contactez notre référent handicap : Kelly Ohana - contact@visio-form.fr
VISIOFORM — La Formation du FuturTransformez vos compétences pour demain
Organisme certifié Qualiopi — IA, marketing digital, informatique, management, comptabilité et plus encore.