Formation Sécurité OWASP avec ASP.NET
| 1620€ HT / personne |
| 2 jours (14 heures) |
Présentation
Formation avancée sur la sécurité applicative Web en C# .NET Core 6 & ASP.NET MVC. Faite de cas pratiques, cette formation vous présentera les bonnes pratiques à adopter afin d’éviter la plupart des failles de sécurités récentes avec comme ligne directrice le célèbre TOP 10 OWASP 2021.
Formez-vos aux bonnes pratiques concernant la sécurité et les failles software. Sécurisez votre solution SaaS et vos applicatifs Web ASP.NET. Évitez les failles potentielles et les alertes d’audits.
Instaurer une culture et une sensibilisation à la sécurité dans vos équipes d’ingénierie, afin de les rendre autonomes sur les bons réflexes et les best practices à mettre en place.
Notamment en priorité sur les principes d’OWASP (TOP 10 des failles de sécu), de type : Cross-site Scripting (XSS), Injection flaws, Broken Auth&Acess, CSRF, API provider, Data Encodage, Signature & Chiffrement…
L’objectif est de pouvoir prévenir les vulnérabilités potentielles et de les corriger en utilisant une bonne méthodologie. N’attendez pas qu’il ne soit trop tard pour sensibiliser votre équipe aux meilleures techniques de prévention !
Dans cette formation sur l’état de l’art en matière de sécurité applicative, vous utiliserez évidemment les dernières technologies : Visual Studio 2022 17, Core 7.0, C# 11.
Objectifs
- Connaître et comprendre les failles les plus courantes sur le Web
- Connaître les mécanismes de sécurité de .NET
- Acquérir les réflexes pour développer des applications sécurisées
- Authentifier et autoriser l’accès aux applications ASP.NET
- Chiffrer des données avec le Framework .NET
Public visé
- Développeurs
- Architectes
- Auditeurs en sécurité
Pré-requis
Avoir des connaissances en programmation C#, .NET.
Pour aller plus loin
- Nous proposons également une formation sur la toute nouvelle version Core de .NET sur ASP.NET
Programme de notre formation Sécurité OWASP .NET
Les principales failles de sécurité
- Présentation des plus grosses failles et leurs coûts respectifs (Aadhar, Cambridge Analytica, Exactis, Marriott Starwood…)
- OWASP Top 10 des failles de sécurité en 2021
- Exploitation des failles
- Notion et calcul du Risk Factor
- Visualisation de l’impact utilisateur
- Mise en œuvre des mécanismes de sécurité
- Nouveauté 2022 : les risques de sécurité dans votre chaîne d’approvisionnement, un enjeu de défaillance majeur
Cas pratiques
- Injection SQL
- Broken Authentification
- Hashing & Salting
- Sensitive data exposure
- Security Misconfiguration
- Xml External Entities (XXE)
- Broken Access Control
- Cross Site Scripting (XSS)
- Insecure deserialization
- Insufficient Logging & Monitoring
- Using Components with Known Vulnerabilities
- CORS (Cross-origin resource sharing)
- CSRF (Cross Site Request Forgery)
- SameSite Cookie
- Unvalidated redirect
La sécurité au quotidien
- Présentation d’outils d’analyse
- Créer son propre analyser Roslyn
- Linq : requêter sur l’arbre syntaxique
- Code Analyzer 101
- Diagnostic Analyzer Class
- Analysis Context Event
- Puma
- Les failles de la Supply Chain : Intégration de la sécurité dans la chaîne d’outils DevOps
- Culture de la sécurité
Les certificats
- Intérêt et fonctionnement des certificats serveurs
- Intérêt, fonctionnement et mise en œuvre des certificats clients
- Intérêt, fonctionnement et mise en œuvre du pinning de certificat
Le chiffrement
- Présentation des différents types et algorithmes de chiffrement
- Symétrique
- Asymétrique : HMAC, JWT, AES, PBKDF2, BASE64
- Signature numérique
- TLS, SSL
- Pinning
- Mise en œuvre en .NET
Langues et Lieux disponibles
Langues
- Français
- Anglais / English
Lieux
-
France entière
- Paris
- Lille
- Reims
- Lyon
- Toulouse
- Bordeaux
- Montpellier
- Nice
- Sophia Antipolis
- Marseille
- Aix-en-Provence
- Nantes
- Rennes
- Strasbourg
- Grenoble
- Dijon
- Tours
- Saint-Étienne
- Toulon
- Angers
-
Belgique
- Bruxelles
- Liège
-
Suisse
- Genève
- Zurich
- Lausanne
-
Luxembourg
Nos Formateurs Référents
Yann
Témoignages
Les + : L’alternance théorie / pratique
Les – : Évoquer davantage la TMA
Afficher tous les témoignages
Les + : L’alternance théorie / pratique
Les – : Évoquer davantage la TMA
Je recommande la formation
Je recommande la formation
Je recommande la formation
Les + : L’équilibre entre la théorie et la pratique
Les échanges avec le formateur
En synthèse : Il ne faut pas tenir compte des notes concernant la salle de cours, car vous n’êtes pas responsables du manque de place.
Les + : L’inclusion des TPs et leur orientation
En synthèse : AmbientIT est totalement indépendant de la note concernant l’infrastructure 🙂
Je recommande la formation
Je recommande la formation
Les + : Les Travaux pratiques et exemples / démo
Les – : Manque du temps pour voir l’utilisation des outils de détection ou traçage des failles de sécurité
Maitrise du sujet par le formateur
Explications claires et concises
Je recommande la formation
Travaux Pratique
Intervenant expérimenté et qualifié
GotoMeeting
Bonne prise de conscience sur les failles de sécurité
Formateur qualifié sur le sujet
L’outil GotoMeeting, gourmand en ressources et pas très ergonomique
Réalisation de TP permettant de comprendre les failles de sécurité et comment s’en prémunir
Formation condensée
Le formateur, disponible et pédagogue
La visio !!!
Vue globale sur les top 10 des failles les plus connues, et surtout comment les éviter.
Trop chargée pour deux jours.
Sécurités sur des application Javascript (Angular, NodeJS)
Excellente formation. Excellent formateur.
Par contre le service formation, ne nous a pas prévenus qu’il faut avoir Visual Studio 2019 installé au préalable, ce qui nous a fait perdre du temps.
Le contenu très intéressant, mais trop chargé pour deux jours, donc je pense que faire la formation sur trois jours ça sera mieux, pour consacrer plus de temps à la pratique.
Alternance de théorie et de pratique.
Exercices pratiques nous mettant dans la situation d’un hacker.
Formation exclusivement orientée .NET alors que la sécurité concerne toutes les technologies.
Besoin de posséder l’outil Visual Studio 2019 et de maîtriser les versions les plus récentes de .NET afin de comprendre l’intégralité de la formation et d’en tirer totalement profit.
Cas réels voir de tous les jours
Problème côté matériel n’ayant pas eu l’information des outils à avoir sur notre poste.
Alternance théorie et TP
Mélange Théorie / Pratique
Alternance Théorie/Pratique
Bonne alternance théorie / pratique qui permet une excellente compréhension des sujets et une bonne appréhension des moyens de prévention à mettre en oeuvre
Rythme globalement bien adapté
Explications claires
La partie théorique pourrait être davantage illustrée par plus d’exposition de cas concrets déjà survenus
Le rythme de travail est bien équilibré entre cours et TP.
Cela permet de voir plein de failles différentes et de comprendre les risques
Certains TP ont été difficile à mettre en place ( certainement du à la formation a distance)
formateur à l’écoute et qui connais bien son sujet
des outils qui ne fonctionnent plus ou mal
Je recommande la formation
Je recommande la formation
La formation ne m’a pas appris grand chose. Partie développement mobile trop généraliste et trop courte.
Le contenu aurait du être orienté mise en œuvre pour application de service financier.
Avec des exemples avec des technologies d’actualité.
Réponse d'Ambient IT
Bonjour Cyril,
Nous vous remercions pour votre commentaire pertinent.
Nous pensons à retravailler le programme en proposant des technologies plus en lien avec l’actualité.
Je recommande la formation
Le côté appliqué est un plus.
Surement la durée trop courte par rapport au TP.
Mettre plus d’exemple de bonne pratique sur les librairies plus haut niveau. (cela dit il y en avait déjà donc c’est pas mal…)
Je recommande la formation
traite des apis et de la sécurité mobile
manque de temps
la formation été très orientée « attaquant » mais notre travail quotidien est plutôt de mettre en place les mesures de défense. Je comprends que c’est ce qui était convenu pour trouver un axe plus original mais cela ne répond que partiellement à mes attentes.
Savoir comment trouver des VULN en utilisant burp ou en codant en python n’a pas d’utilité dans mon travail. Notre besoin est de comprendre les mécaniques et connaitre les solutions de protection et les bonnes pratiques.
Prendre peut être plus d’exemples de VULN réelles ayant eu lieu dans des services grand public ou en présentant des résultats d’audit/pentest anonymisés qui vous avez pu faire par ailleurs.
Malgré cela, la formation a permis quand même une piqure de rappel sur certains aspects.
merci à vous
Je recommande la formation
Je recommande la formation
Les points forts de la formations sont tout d’abord le formateur, très à l’écoute. deuxièmement les TPs qui permet de mettre en pratique les enseignements et recommandations. Les guidelines.
peut être la durée mais je suis un peu biaisé par le format car en ligne et que nous stagiaires n’étaient pas au même niveau. Toutefois çà ne s’est pas ressentie lors de la formation.
Je n’ai pas regardé le catalogue mais une formation un peu poussé sur le thème de la sécu pourrait être intéressante
Formation dense c’est sûr, mais les explications claires et bien dynamisées par les TP la rend facile à suivre.
orientation microsoft, formateur compétent
Bonne formation surtout à distance ce qui n’était pas évident mais ce fut très intéressant ! Bonne alternance entre la partie théorique / pratique. Bon formateur.
Noter la formation
| 1620€ HT / personne |
| 2 jours (14 heures) |
