La sécurité des frameworks JavaScript

Jour 1

Introduction

• Panorama de la sécurité Web
• Les normes et lois
• Les référentiels
• Les principaux groupes de réflexion et de travail sur la sécurité des applications Web
• L'évolution des langages Web, des technologies et des usages du Web
• L'apport du Full Stack

Protocole HTTP avec JavaScript

• Rappels des fondamentaux sur les protocoles HTTP et HTTP/2
• La pile applicative
• Les méthodes
• Les codes erreurs
• Les principaux champs
• Le fonctionnement d'AJAX
• L'architecture des applications Web (monolithe, n-tiers, SOA / ROA...)
• Le cas des API
• Contrôler la permissivité des interfaces Web

Les outils connexes

• Faire des tests et des validations
• Les tools des navigateurs
• La capture via proxy
• La capture via tcpdump ou Wireshark
• Les tests avec Postman
• Les "vulnerability scanners" (Burp Suite, Accunetix, les outils spécialisés CMS, les sites Web d'analyse)

L'OWASP

• Présentation de l'OWASP et de ses projets
• Les Security Cheat Sheets
• Le Top 10
• Le Top 25 du SANS
• Les Google Dorks
• Les guides de l'OWASP (Test Guide, Dev Guide...)
• L'ASVS (Application Security Verification Standard)
• Les grandes familles d'attaques
• Broken Access Control
• Cryptographic Failures
• Injection
• Insecure Design
• Security Misconfiguration
• Vulnerable and Outdated Components
• Identification and Authentication Failures
• Software and Data Integrity Failures
• Security Logging and Monitoring Failures
• Server-Side Request Forgery

Jour 2

Sécurité du client

• Protéger les clients des attaques Cross-Site Scripting (XSS)
• Les protections apportées par Angular JS, NodeJS et React contre les XSS
• Protéger les clients des attaques Cross-Site Request Forgery (CSRF)
• Les protections apportées par Angular JS, NodeJS et React contre les CSRF
• Le cas jQuery
• La gestion de l'origine
• Filtrer la saisie utilisateur
• Limiter l'expérience utilisateur
• Surveiller le parcours de l'utilisateur
• L'obfuscation et le chiffrement du code
• La signature du code
• La gestion de la sécurité des bibliothèques tierces
• Le "pruning"

Exemples de travaux pratiques (à titre indicatif)

• Démonstration des attaques XSS et CSRF
• Sécurisation d'une interface HTML avec JavaScript
• Création d'un contrôle et d'un suivi utilisateur

Gestion des sessions

• Les méthodes d'authentification Web
• L'apport du JavaScript sur l'authentification
• Exploitation de la méthode HTTP basic
• "Forms Authentication Module"
• "Integrated Windows Authentication"
• La méthode Application_Authenticate Request
• Le contrôle des rôles et permissions
• L'utilisation de l'URL Authorization Module
• Les "security attributes"

Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.

Modalités d’évaluation des acquis

• En cours de formation, par des études de cas ou des travaux pratiques
• Et, en fin de formation, par un questionnaire d'auto-évaluation