Merci d'avoir envoyé votre demande ! Un membre de notre équipe vous contactera sous peu.
Merci d'avoir envoyé votre réservation ! Un membre de notre équipe vous contactera sous peu.
Plan du cours
Introduction
- Présentation de l'OWASP, de sa mission et de son importance en matière de sécurité web
- Explication de la liste des 10 risques les plus courants de l'OWASP
- A01:2021-Broken Access Control passe à la première place, après avoir été classé cinquième. 94% des applications ont été testées pour une forme de contrôle d'accès défectueux. Les 34 Faiblesses Communes Énumérées (CWE) mappées au Contrôle d'Accès Défectueux sont présentes dans plus d'applications que toute autre catégorie.
- A02:2021-Cryptographic Failures grimpe à la deuxième place, précédemment connu sous le nom de Sensitive Data Exposure, qui était un symptôme large plutôt qu'une cause première. L'accent est désormais mis sur les échecs liés à la cryptographie, ce qui peut souvent entraîner l'exposition de données sensibles ou la compromission du système.
- A03:2021-Injection descend à la troisième place. 94% des applications ont été testées pour une forme d'injection, et les 33 CWE mappés dans cette catégorie sont la deuxième plus fréquente dans les applications. Le Cross-Site Scripting fait maintenant partie de cette catégorie dans cette édition.
- A04:2021-Insecure Design est une nouvelle catégorie pour 2021, axée sur les risques liés aux défauts de conception. Si nous voulons réellement "déplacer la sécurité en amont" dans l'industrie, il faudra plus d'utilisation du modèle de menace, des modèles et principes de conception sécurisés, ainsi que des architectures de référence.
- A05:2021-Security Misconfiguration passe à la cinquième place, après avoir été classé sixième dans l'édition précédente. 90% des applications ont été testées pour une forme de mauvaise configuration. Avec le déplacement vers un logiciel hautement configurable, il n'est pas surprenant que cette catégorie grimpe en importance. L'ancienne catégorie d'Entités Externes XML (XXE) fait maintenant partie de cette catégorie.
- A06:2021-Vulnerable and Outdated Components était précédemment intitulé Using Components with Known Vulnerabilities et est classé deuxième dans l'enquête communautaire des 10 risques les plus courants, mais avait également suffisamment de données pour figurer dans le Top 10 via l'analyse de données. Cette catégorie grimpe à la sixième place depuis 2017 et est un problème connu que nous avons du mal à tester et évaluer en termes de risque. C'est la seule catégorie qui n'a pas de Vulnérabilités Communes et Expositions (CVE) mappées aux CWE inclus, donc des poids d'exploitation et d'impact par défaut de 5.0 sont facturés dans leurs scores.
- A07:2021-Identification and Authentication Failures était précédemment Broken Authentication et descend à la septième place, après avoir été classé deuxième. Elle inclut maintenant des CWE plus liés aux échecs d'identification. Cette catégorie reste une partie intégrante du Top 10, mais la disponibilité croissante de cadres standard semble aider.
- A08:2021-Software and Data Integrity Failures est une nouvelle catégorie pour 2021, axée sur les hypothèses faites concernant les mises à jour de logiciels, les données critiques et les pipelines CI/CD sans vérification de l'intégrité. Un des impacts les plus importants issus des Vulnérabilités Communes et Expositions/Systèmes de Classification des Vulnérabilités Communs (CVE/CVSS) mappés aux 10 CWE de cette catégorie. La désérialisation non sécurisée de 2017 fait maintenant partie de cette catégorie plus large.
- A09:2021-Security Logging and Monitoring Failures était précédemment Insufficient Logging & Monitoring et a été ajoutée à partir de l'enquête de l'industrie (#3), après avoir été classée dixième précédemment. Cette catégorie est étendue pour inclure plus de types d'échecs, est difficile à tester et n'est pas bien représentée dans les données CVE/CVSS. Cependant, les échecs dans cette catégorie peuvent directement affecter la visibilité, l'alerte aux incidents et la forensique.
- A10:2021-Server-Side Request Forgery est ajoutée à partir de l'enquête communautaire des 10 risques les plus courants (#1). Les données montrent un taux d'incidence relativement faible avec une couverture de test supérieure à la moyenne, ainsi que des notes supérieures pour le potentiel d'exploitation et d'impact. Cette catégorie représente le scénario où les membres de la communauté de sécurité nous disent que c'est important, même si cela n'est pas illustré par les données actuelles.
Broken Access Control
- Exemples pratiques de contrôles d'accès défectueux
- Contrôles d'accès sécurisés et meilleures pratiques
Cryptographic Failures
- Analyse détaillée des échecs cryptographiques, tels que l'utilisation d'algorithmes de chiffrement faibles ou une gestion incorrecte des clés
- Importance des mécanismes cryptographiques robustes, des protocoles sécurisés (SSL/TLS) et exemples de cryptographie moderne dans la sécurité web
Injection Attacks
- Décomposition détaillée des injections SQL, NoSQL, OS et LDAP
- Techniques de mitigation en utilisant des instructions préparées, des requêtes paramétrées et l'échappement des entrées
Insecure Design
- Exploration des défauts de conception qui peuvent conduire à des vulnérabilités, tels que la validation incorrecte des entrées
- Stratégies pour une architecture et des principes de conception sécurisés
Security Misconfiguration
- Exemples concrets de mauvaises configurations
- Étapes pour prévenir les mauvaises configurations, y compris la gestion des configurations et les outils d'automatisation
Vulnerable and Outdated Components
- Identification des risques liés à l'utilisation de bibliothèques et frameworks vulnérables
- Meilleures pratiques pour la gestion des dépendances et les mises à jour
Identification and Authentication Failures
- Problèmes d'authentification courants
- Stratégies d'authentification sécurisées, telles que l'authentification multifacteur et la gestion appropriée des sessions
Software and Data Integrity Failures
- Focus sur les problèmes tels que les mises à jour de logiciels non fiables et le falsification des données
- Mécanismes de mise à jour sécurisés et vérifications d'intégrité des données
Security Logging and Monitoring Failures
- Importance du journalisation des informations de sécurité et de la surveillance pour les activités suspectes
- Outils et pratiques pour une journalisation appropriée et une surveillance en temps réel afin de détecter les violations tôt
Server-Side Request Forgery (SSRF)
- Explication de la façon dont les attaquants exploitent les vulnérabilités SSRF pour accéder aux systèmes internes
- Tactiques de mitigation, y compris une validation appropriée des entrées et des configurations de pare-feu
Best Practices and Secure Coding
- Discussion approfondie sur les meilleures pratiques pour le codage sécurisé
- Outils de détection des vulnérabilités
Résumé et étapes suivantes
Pré requis
- Une compréhension générale du cycle de développement web
- Une expérience en développement et sécurité d'applications web
Public cible
- Développeurs web
- Dirigeants
14 Heures
Nos clients témoignent (7)
Les composants interactifs et les exemples.
Raphael - Global Knowledge
Formation - OWASP Top 10
Traduction automatique
Approche pratique et connaissances des formateurs
RICARDO
Formation - OWASP Top 10
Traduction automatique
Les connaissances du formateur étaient phénoménales
Patrick - Luminus
Formation - OWASP Top 10
Traduction automatique
exercices, même s'ils sortent de ma zone de confort.
Nathalie - Luminus
Formation - OWASP Top 10
Traduction automatique
Le formateur est très instructif et connaît vraiment le sujet.
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Formation - OWASP Top 10
Traduction automatique
Le Trainor est vraiment un expert en la matière.
Reynold - SGL Manila (Shared Service Center) Inc.
Formation - OWASP Top 10
Traduction automatique
Laboratoire pratique sur l'obtention d'un shell à partir d'une machine attaquée
Catalin
Formation - OWASP Top 10
Traduction automatique
