Développement web sécurisé

Objectifs

Comprendre les vulnérabilités communes des applications web

Plan du cours

Contexte
- Souveraineté
- Mots de passes
- HTTP
- HTTPS
- JS
- tracking
Pentesting
- Collecter
- Détecter
  - Heartbleed
Mécanisme
- Authentification
Vulnérabilités communes
- Command execution
  - Shellshock
- Upload
- LFI_RFI
- XSS
- CSRF
- SQLi
  - Drupalgeddon
Se protéger
- Top10
- anticiper

Description des TP

Chaque étudiant dispose d'un environnement virtualisé comprenant un système offensif (Kali Linux) et un ou plusieurs systèmes vulnérables (debian, proxy). Toutes les vulnérabilités du cours sont exploitables.

Connaissances requises

- Bases d'administration système, notamment concernant les serveurs web (nginx/apache) et bases de données (MySQL)
- Base de développement avec le langage PHP

RSE (Responsabilité Sociale et Environnementale)

Bibliographie

A remplir