Formation Sécurité OWASP avec ASP.NET
| € HT / personne |
| 2 jours (14 heures) |
Présentation
Formation avancée sur la sécurité applicative Web en C# .NET Core 8 & ASP.NET MVC. Faite de cas pratiques, cette formation vous présentera les bonnes pratiques à adopter afin d’éviter la plupart des failles de sécurités récentes avec comme ligne directrice le célèbre TOP 10 OWASP 2021.
Formez-vos aux bonnes pratiques concernant la sécurité et les failles software. Sécurisez votre solution SaaS et vos applicatifs Web ASP.NET. Évitez les failles potentielles et les alertes d’audits.
Instaurer une culture et une sensibilisation à la sécurité dans vos équipes d’ingénierie, afin de les rendre autonomes sur les bons réflexes et les best practices à mettre en place.
Notamment en priorité sur les principes d’OWASP (TOP 10 des failles de sécu), de type : Cross-site Scripting (XSS), Injection flaws, Broken Auth&Acess, CSRF, API provider, Data Encodage, Signature & Chiffrement…
L’objectif est de pouvoir prévenir les vulnérabilités potentielles et de les corriger en utilisant une bonne méthodologie. N’attendez pas qu’il ne soit trop tard pour sensibiliser votre équipe aux meilleures techniques de prévention !
Dans cette formation sur l’état de l’art en matière de sécurité applicative, vous utiliserez évidemment les dernières technologies : Visual Studio 2022 17, Core 8, C# 13.
Objectifs
- Connaître et comprendre les failles les plus courantes sur le Web
- Connaître les mécanismes de sécurité de .NET
- Acquérir les réflexes pour développer des applications sécurisées
- Authentifier et autoriser l’accès aux applications ASP.NET
- Chiffrer des données avec le Framework .NET
Public visé
- Développeurs
- Architectes
- Auditeurs en sécurité
Pré-requis
- Avoir des connaissances en programmation C#, .NET
- Tester Mes Connaissances
Pré-requis logiciel
Visual Studio Code installé avec ces extensions :
- ASP .NET
- Développement multiplateforme .NET Core
- .NET profiling tools
- IntelliCode
- Text Template Transformation
- Developer Analytics tools
- .NET Compilet Platform SDK
Pour aller plus loin
- Nous proposons également une formation sur la toute nouvelle version Core de .NET sur ASP.NET
Programme de notre formation Sécurité OWASP .NET
[Jour 1 – Matin]
Sécurité des applications .NET avec OWASP
- Présentation des participants
- Partage des attentes
- Contexte professionnel et outils utilisés
- Rappel du cadre pédagogique : participation, droit à l’erreur, écoute active
Introduction à la sécurité applicative
- Panorama des menaces liées aux applications .NET
- DotNet Security Cheat Sheet : TIPS de sécurité pour développeur et bonne pratique
- Présentation de l’OWASP Top 10 adapté au .NET
- Mini jeux catégorisation owasp
- Vérification que tout le monde à visual studio avec le plugin pour C#
- Présentation et démo des outils de pentest Kali Linux
Vulnérabilités et tests d’intrusion
- Vulnérabilités XSS (reflected & stored) – démo et exercices
- Introduction au pentest avec .NET
- Atelier pratique : Analyse et correction de failles XSS dotnet avec razor
[Jour 1 – Après-midi]
Vulnérabilités SQLi & CSRF
- Présentation SQLi et exercices de contournement de connexion (SQLI à la main puis utilisation de sqlmap)
- Correction sécurisée avec requêtes paramétrées
- Exercice pratique sur les attaques CSRF et ajout de protection
Audit et reverse engineering
- Scanner de vulnérabilités : PumaScan, nmap, nikto et détection automatique
- Atelier pratique : correction de vulnérabilités CVE dans des projets .NET
- Introduction au reverse engineering avec `ilspycmd`
[Jour 2 – Matin]
Cryptographie & Hashage
- Concepts clés :
- Différence entre cryptographie (chiffrement) et hashage
- Objectifs : confidentialité, intégrité, non-répudiation
- Focus :
- Chiffrement réversible : AES256
- Exercice pratique avec IV/clé
- Fonction XOR : explication simple + démonstration
- Atelier pratique : déchiffrer un message AES avec la bonne clé
Hashage & sécurité des mots de passe
- Fonctions de hachage : SHA512, MD5
- Pourquoi ne jamais stocker les mots de passe en clair
- Dangers du hash simple : besoins de salage, PBKDF2, bcrypt
- Exercice pratique : retrouver un mot de passe hashé en MD5 avec john the ripper
- Présentation des plus grosses failles et leurs coûts respectifs :
- Marriott / Starwood Données exposées : 500 millions de clients (infos passeport, carte bancaire, réservations)
- La certification HDS encadre l’hébergement des données de santé en garantissant sécurité (en théorie…)
- Comment stocker les données médicales, NIR, dossier ect..
- Mini-jeu / quiz : Présentation de différents types de projets (ex. : site vitrine, application de données médicales, CRM, site de streaming…) avec des questions sur leurs impacts et contraintes spécifiques
[Jour 2 – Après-midi]
CI/CD et sécurité automatisée
- Introduction à GitLab CI/CD sécurisé
- Importance de la détection continue des vulnérabilités
- Atelier Pratique : Démo CI/CD GitLab
Roslyn Analyzer personnalisé
- Présentation de Roslyn et des analyzers
- Création d’un analyzer personnalisé :
- Méthodes trop longues
- Noms interdits
- Documentation manquante
- Ateliers pratiques :
- Création d’un analyzer Roslyn
- Personnalisation
Sécurité des API & Authentification
- Qu’est-ce qu’une API ? Risques & bonnes pratiques
- Méthodes HTTP et statuts de réponse
- Test API via `curl`
- Atelier Pratique :
- POST via curl
- Introduction au token JWT : authentification sécurisée
- CTFD avec des challenges pentest en ligne sur dotnet
Conclusion & Évaluation
- Retour des participants :
- Ce que j’ai appris
- Ce que j’ai aimé / moins aimé
- Ce que je compte appliquer
- Évaluation de la formation
- Ressources complémentaires / RESTONS EN CONTACT
Langues et Lieux disponibles
Langues
- Français
- Anglais / English
Lieux
-
France entière
- Paris
- Lille
- Reims
- Lyon
- Toulouse
- Bordeaux
- Montpellier
- Nice
- Sophia Antipolis
- Marseille
- Aix-en-Provence
- Nantes
- Rennes
- Strasbourg
- Grenoble
- Dijon
- Tours
- Saint-Étienne
- Toulon
- Angers
-
Belgique
- Bruxelles
- Liège
-
Suisse
- Genève
- Zurich
- Lausanne
-
Luxembourg
Nos Formateurs Référents
Yann
Témoignages
Je recommande la formation
Afficher tous les témoignages
Je recommande la formation
Je recommande la formation
Je recommande la formation
Je recommande la formation
Les + : Présentation et manipulation d’outils
Exercices proposés
Les – : Beaucoup de notions abordées sur ces deux jours donc vu superficiellement, il faudra approfondir ensuite.
Avec une base établie, cela reste des redite sans approfondissement mais cela peut être une grosse masse d’informations à prendre en compte pour un débutant.
Je recommande la formation
Je recommande la formation
Je recommande la formation
Les + : Travaux pratiques sur des labs, supports de formations + liens supplémentaires
Les + : Le formateur qualifié maitrisant la matière et a une bonne capacité de transmission avec une bonne méthodologie liant la théorie à la pratique
Les – : je reste un peu sur ma soif, je pensais qu’on ferai aussi des cas pratiques dans l’environnement .NET tel que présenté sur votre site https://www.ambient-it.net/formation/formation-securite-owasp/
Je souhaite suivre : FORMATION ASP.NET CORE 8
MVC Core avec C# 12 et Visual Studio 2022
En synthèse : Globalement je suis satisfait, j’ai appris des bonnes pratique de sécurité et désormais je serai capable de faire des tests de sécurité avant de déployer les applications
Je recommande la formation
Les + : L’alternance théorie / pratique
Les – : Évoquer davantage la TMA
Noter la formation
| € HT / personne |
| 2 jours (14 heures) |
UNE QUESTION ? UN PROJET ? UN AUDIT DE CODE / D'INFRASTRUCTURE ?
Pour vos besoins d’expertise que vous ne trouvez nulle part ailleurs, n’hésitez pas à nous contacter.
ILS SE SONT FORMÉS CHEZ NOUS
