Formation Certification GIAC GWEB®

Programme de notre formation Certification GIAC GWEB®

[Jour 1 – Matin]

Fondamentaux de la sécurité des applications Web et cartographie des risques

• Comprendre le modèle client/serveur : HTTP/HTTPS, cookies, sessions, en-têtes
• Identifier les surfaces d’attaque : endpoints, paramètres, fichiers, APIs, authentification
• Prioriser les risques avec OWASP Top 10 et scénarios d’exploitation réalistes
• Mettre en place une approche de défense : prévention, détection, réponse
• Atelier pratique : Cartographier une application cible (routes, paramètres, données sensibles) et établir une matrice de risques.

[Jour 1 – Après-midi]

Authentification, sessions et contrôles d’accès

• Durcir l’authentification : politiques mots de passe, MFA, verrouillage, anti-bruteforce
• Sécuriser les sessions : cookies Secure/HttpOnly/SameSite, rotation, expiration
• Éviter les failles de contrôle d’accès : IDOR, élévation de privilèges, séparation des rôles
• Bonnes pratiques d’implémentation : gestion des erreurs, messages, redirections
• Atelier pratique : Tester et corriger des scénarios d’IDOR et de fixation de session sur une application de démonstration.

[Jour 2 – Matin]

Validation des entrées et prévention des injections

• Mettre en place une validation robuste : listes blanches, normalisation, contraintes côté serveur
• Prévenir SQL Injection : requêtes paramétrées, ORM, moindre privilège base de données
• Prévenir les injections système : commandes, chemins, désérialisation, templates
• Gérer l’encodage/sortie : contexte HTML, attributs, URL, JavaScript
• Atelier pratique : Exploiter puis corriger une injection (SQL et commande) via paramétrage et validation.

[Jour 2 – Après-midi]

Protection contre XSS, CSRF et attaques côté navigateur

• Différencier XSS réfléchi, stocké, DOM et appliquer les contre-mesures adaptées
• Mettre en place une CSP pragmatique et gérer les exceptions (nonce, hash)
• Prévenir CSRF : tokens, SameSite, vérification d’origine, double-submit
• Durcir les en-têtes : HSTS, X-Content-Type-Options, Referrer-Policy, Permissions-Policy
• Atelier pratique : Ajouter une CSP et des protections CSRF, puis valider l’efficacité par tests d’attaque.

[Jour 3 – Matin]

Sécurité des APIs et gestion des secrets

• Sécuriser les APIs REST : authentification, autorisation, scopes, contrôle des objets
• Limiter l’exposition : pagination, filtrage, rate limiting, protections anti-énumération
• Valider les schémas : contrats, types, tailles, formats, gestion des erreurs
• Gérer les secrets : variables d’environnement, rotation, coffre-fort, suppression des secrets du code
• Atelier pratique : Auditer une API (contrôles d’accès, rate limit, validation) et corriger les points critiques.

[Jour 3 – Après-midi]

Durcissement, logs, tests et préparation à l’examen GWEB

• Configurer la sécurité applicative : TLS, gestion des erreurs, durcissement serveur et dépendances
• Mettre en place une journalisation exploitable : événements auth, accès, erreurs, corrélation, rétention
• Intégrer la sécurité au cycle de dev : revues, SAST/DAST, scans dépendances, critères de qualité
• Construire un plan de remédiation : priorisation, preuves de correction, non-régression
• Atelier pratique : Réaliser un mini-audit bout en bout (tests + correctifs) et produire une checklist de défense alignée GWEB.