Séminaires

Atelier sur la sécurité du web

Nous vous soutenons volontiers en organisant un atelier sur des thèmes spécifiques dans le domaine de la sécurité informatique. Nos ateliers sont adaptés aux besoins individuels de votre entreprise et s’adressent aux experts en informatique, aux experts en sécurité informatique ainsi qu’aux responsables de la sécurité informatique et des technologies de l’information.

Vous trouverez ci-dessous un exemple d’agenda pour un atelier sur la sécurité web.

Jour 1
  • Introduction au sujet
  • Sécurité informatique et de l’information – Informations sur le RGPD
  • Sécurité technique et organisationnelle – Protocoles sur le web (HTTP, WebSocket)
  • Principes sur le web (DOM, SOP)
  • Principes de codage
  • Attaques de session (Man-in-the-Middle, attaques par rejeu de cookies)
  • Détournement de session & Fixation de session
  • Forçage des requêtes intersites (CSRF)
  • Mesures de protection (cryptage, identifiants de session, jetons CSRF)
Jour 2
  • Cross Site Scripting (XSS)
  • XSS persistant, XSS réflexif, XSS basé sur DOM, XSS basé sur flash
  • uXSS, XSS à moteur social, self-XSS
  • Mesures de protection (filtre, filtre XSS dans le navigateur, drapeau http-only, politique de sécurité du contenu)
  • Erreurs d’injection telles que l’injection SQL, OS et LDAP / l’injection d’en-tête SMTP / l’injection d’en-tête HTTP
  • Sécurisation des systèmes de base de données en aval
  • Inclusion de fichiers locaux (LFI) / Inclusion de fichiers distants (RFI) / Traversée de chemin / Injection d’octets nuls
  • Entités externes XML (XXE)
  • Mesures de protection sur les inclusions de fichiers
  • Contrôle d’accès brisé
  • Désérialisation insecure
  • Redressage de l’interface utilisateur / clickjacking
  • Piratage du curseur
  • Attaques avancées de redressage de l’interface utilisateur
  • Mesures de protection (X-Frame-Options (XFO), Framebusting, politique de sécurité du contenu)
Jour 3
  • Audits de code – Analyse de code de sécurité .NET – Sécurité des mécanismes d’authentification
  • Attaques par dictionnaire / méthode de force brute / comparaisons non sécurisées – Rainbow Tables / Passwordcracking
  • les mesures de protection : hachage de mots de passe, politiques de mots de passe, limites de taux
  • Authentifications Kerberos
  • Sécurité des authentifications Kerberos
  • Infrastructure de certificat
  • Sécurité des authentifications par certificat
  • Prix de l’information (Sensitive Data Exposure)
  • Valeurs par défaut / informations accessibles au public
  • Mauvaises configurations (Directory Listing, messages d’erreur, Referrer-Leak)
  • « Sous-domaines cachés » / redirections non vérifiées
  • Utiliser des composants avec des vulnérabilités connues
  • Conditions de course
  • Attaques contre la logique commerciale
  • Attaques dans le DNS
  • Détournement de sous-domaine
  • Typosquatting
  • Outils d’identification des vulnérabilités
4e jour
  • Sécurité par défaut (Security by Default)
  • Développement sécurisé dans le contexte des méthodes agiles
  • Principales règles pour les développeurs et les responsables de la sécurité
  • Les bases de la révision de la sécurité / Analyse des vulnérabilités
  • Expérience d’un testeur de pénétration
  • Sécurité de la conception dans le contexte des environnements en nuage

Votre contact

Vous pouvez toujours nous joindre personnellement. Parce que la fidélité du partenaire est bien plus importante pour nous que le succès à court terme.

Philipp Kalweit

Philipp Kalweit

Managing Partner

 

+49 40 285 301 257

hello@kalwe.it

Philipp Kalweit est un consultant expérimenté en sécurité informatique sur les thèmes de la sensibilisation à la sécurité et de l’audit informatique offensif. Depuis six ans, il conseille et contrôle des clients issus de l’environnement des PME et des grands groupes, notamment des organisations réglementées par la BCE et la BaFin ainsi que des groupes dans le secteur de la vente au détail. Son activité de conseil est centrée sur la sécurité informatique holistique. Pour son travail, il a été honoré en 2019 par DIE ZEIT en tant que « Hamburger du mois » et a été intégré la même année dans la liste Forbes « 30 under 30 DACH ».