Publié le par wam

Sécurisation de WebServices

Programme

La formation initie les participants à la sécurisation de WebServices dans le numérique et le réel. La formation est constituée de parties théoriques.

Déroulé

Jour 1

  • Hacker
  • Code source des Apps
  • UXDesign et Password
  • Logs
  • Message d’erreur
  • DataData local dans le device
  • Format de données
    • Injections
    • Débordement mémoire
    • Usage de caractères Joker (joker use)
    • Coding attack
    • Fichiers joints
    • SOAP/ SOA / WOA
  • Attack Man in the Middle
    • Exemples
    • Localisation du hacker
    • Analyze
  • Denial Of Service
    • Distributed Denial Of Service : DDOS
    • Type DOS Attack
    • Attack Infrastructure
    • Attack Server
    • Attack Services
  • DataCenter Tierce
    • Attaque de masse
    • Sabotage
  • Accès Réseaux
    • Fournisseur Accès Internet
    • GSM
    • Paralyser
    • Redondance des Accès
    • Redondance des sites de gestions informatiques
  • Hiérarchie dans l’entreprise
  • Store Fishing
    • Vers des applications qui ressemblent mais sont des fausses App
    • Android
    • Apple
  • Fishing
  • Gestion des identifiants et des accès de l’utilisateur
  • Gestions des authentifications internes (dev, root, etc.)
  • Data / Message / Payload
    • Token unique
    • Token d’authentification
    • AES
    • Intégrité des requêtes
  • SSL
    • Connexion SSL
    • Ne préserve pas de tout
  • Cryptologie dédiée
    • Créer sa librairie crypto
    • Ajouter une sur-couche à la crypto
  • Distribution
    • Development
    • Release
    • Distribution
  • Environnement
    • Chaque environnement doit être sur un autre … (fonction du cas)
    • Dev
    • Preprod
    • Prod
    • Secours
    • Serveur Piège à ours
    • Serveur d’analyze / stats
  • Servers
    • SSL
    • IP
    • DNS
    • Différencier les services sur plusieurs serveurs
    • Security patch
    • Port
    • Masquer les entêtes de vos services ⚠️
    • Requêtes pièges à ours depuis le code d’une App
  • Temps
    • Difficulté de hack
    • temps de hack
    • Modification des clefs/salt à intervalle
    • Mise en place de nouvelle procédure à Intervalle
    • Modifications des signatures de données
  • Vocabulaire
    • Cryptologie
    • Token
    • Encodage
    • Compression
    • Signature
    • Pot de miel
    • Piège à ours

Objectifs

L’objectif de la formation est de permettre aux participants la mise en place de WebServices sécurisés.

Niveaux de connaissance préalable requis

Chaque stagiaire a déjà une connaissance en programmation et en réseaux.
Chaque stagiaire doit être capable de lire l’anglais et d’effectuer des recherches sur Internet.

Moyens pédagogiques, techniques et d’encadrement mis en œuvre

Le client mettra à disposition du formateur et des stagiaires :

  • Une salle de formation
  • Des moyens de projection (vidéo-projecteur ou grand écran, HDMI ou VGA)
  • Un accès internet permanent pour le formateur
  • Un tableau blanc ou paper-board et les marqueurs

Moyens permettant de suivre l’exécution

Chaque stagiaire signera une feuille d’émargement par demi-journée, signée à son tour par le formateur.

Moyens d’apprécier les résultats

En fin de formation, les stagiaires ne seront pas soumis à une évaluation. La formation est à but informative et implique par elle-même l’absence de tests révélatrices de faille de sécurité dans l’entreprise.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *