Sécurité des Applications Web

Maîtrisez la sécurisation des applications web contre les vulnérabilités OWASP et menaces courantes.

Informations pratiques

  • Durée : 40h
  • Niveau : Intermédiaire
  • Modalité : Visio

Objectifs pédagogiques

  • Identifier les vulnérabilités OWASP Top 10
  • Exploiter et corriger les failles de sécurité web
  • Sécuriser les authentifications et sessions
  • Protéger contre les injections et XSS
  • Auditer la sécurité d'applications web

Programme de la formation

  1. OWASP Top 10 (15h)
    • Injection (SQL, NoSQL, LDAP, OS) : mécanismes d'attaque et requêtes paramétrées
    • Broken Authentication : failles de session, credential stuffing et implémentation sécurisée
    • XSS (Cross-Site Scripting) : reflected, stored, DOM-based et stratégies de remédiation
    • XXE (XML External Entity) : parsing XML non sécurisé, exfiltration et désactivation DTD
    • IDOR (Insecure Direct Object Reference) : accès non autorisé et contrôle d'accès objet
    • Security Misconfiguration : headers manquants, erreurs verboses et durcissement serveur
  2. Sécurité Authentification (10h)
    • Gestion des mots de passe : hashing (bcrypt, Argon2), salting et politiques de complexité
    • MFA (Multi-Factor Authentication) : TOTP, FIDO2/WebAuthn, SMS et biométrie
    • OAuth 2.0 et OpenID Connect : flows d'autorisation, scopes et tokens d'accès
    • JWT (JSON Web Tokens) : structure, signature, validation et pièges courants (alg:none)
    • Gestion de sessions : cookies sécurisés (HttpOnly, Secure, SameSite) et expiration
    • Authentification passwordless : magic links, passkeys et implémentation moderne
  3. Protection Avancée (10h)
    • CSP (Content Security Policy) : directives, nonces, hashes et protection contre XSS
    • CORS (Cross-Origin Resource Sharing) : configuration sécurisée et pièges courants
    • WAF (Web Application Firewall) : règles de protection, ModSecurity et cloud WAF
    • Rate limiting et throttling : protection contre brute force, DDoS applicatif et abus d'API
    • API Security : authentification, autorisation, validation de schéma et OWASP API Top 10
    • Security headers : HSTS, X-Frame-Options, X-Content-Type et Referrer-Policy

Prérequis

Bases en développement web (HTML, JS, backend)

Public visé

Développeurs web, testeurs, architectes, pentesters

Méthodes pédagogiques

Formation en distanciel (visio) et/ou en présentiel selon les sessions

Évaluation

QCM, exercices pratiques, mise en situation professionnelle, étude de cas, projet final

Accessibilité

Formation accessible aux personnes en situation de handicap. Possibilités d'adaptation pédagogique et technique. Pour toute question concernant l'accessibilité, contactez notre référent handicap : Kelly Ohana - contact@visio-form.fr

VISIOFORMVISIOFORM — La Formation du Futur

Transformez vos compétences pour demain

Organisme certifié Qualiopi — IA, marketing digital, informatique, management, comptabilité et plus encore.