Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Black Friday: -25€ dès 75€ sur les livres en ligne, vidéos... avec le code BWEEK25. J'en profite !
  1. Livres et vidéos
  2. Sécurité informatique sur le Web - Apprenez à sécuriser vos applications (management, cybersécurité, développement et opérationnel)

Sécurité informatique sur le Web Apprenez à sécuriser vos applications (management, cybersécurité, développement et opérationnel)

Sécurité informatique sur le Web - Apprenez à sécuriser vos applications (management, cybersécurité, développement et opérationnel)

Informations

Livraison possible dès le 01 décembre 2023
  • Livraison à partir de 0,01 €
  • Version en ligne offerte pendant 1 an
Livres rédigés par des auteurs francophones et imprimés à Nantes

Caractéristiques

  • Livre (broché) - 17 x 21 cm
  • ISBN : 978-2-409-00634-0
  • EAN : 9782409006340
  • Ref. ENI : EPSECAW

Informations

  • Consultable en ligne immédiatement après validation du paiement et pour une durée de 10 ans.
  • Version HTML
Livres rédigés par des auteurs francophones et imprimés à Nantes

Caractéristiques

  • HTML
  • ISBN : 978-2-409-00773-6
  • EAN : 9782409007736
  • Ref. ENI : LNEPSECAW
Préface de Jérôme HENNECART - Expert en Cyberdéfense pour Serval-Concept Cet ouvrage sur la sécurité des applications web s'adresse à l'ensemble des personnes concernées par la sécurité de l'information : développeurs, managers en sécurité de l'information, pentesters, administrateurs système... L'approche choisie par l'auteur permet à un lecteur novice en matière de...
Consulter des extraits du livre en ligne Aperçu du livre papier
  • Niveau Confirmé à Expert
  • Nombre de pages 340 pages
  • Parution mars 2017
  • Niveau Expert
  • Parution mars 2017
Préface de Jérôme HENNECART - Expert en Cyberdéfense pour Serval-Concept


Cet ouvrage sur la sécurité des applications web s'adresse à l'ensemble des personnes concernées par la sécurité de l'information : développeurs, managers en sécurité de l'information, pentesters, administrateurs système... L'approche choisie par l'auteur permet à un lecteur novice en matière de sécurité de comprendre tous les tenants et aboutissants de la sécurité web mais aussi à un lecteur plus expérimenté d'utiliser les chapitres dont il a besoin pour conforter ou améliorer ses connaissances sur le sujet. Le livre n'est pas lié à un langage de développement particulier.

Afin de suivre une progression pédagogique cohérente tout au long du livre, le premier chapitre introduit les concepts de base du web en lien avec la sécurité d'une application : méthodes de travail, architectures, langages et technologies utilisés. Son objectif est de poser les bonnes fondations sur lesquelles développer les axes de sécurité qui seront mis en œuvre. Le deuxième chapitre dresse un état des lieux des normes, des outils, des guides, des bonnes pratiques et des techniques de sécurité existants afin de faciliter la compréhension de la suite du livre.

Le chapitre suivant présente les principaux risques et les principales vulnérabilités connus du web (injections, violation de session, Cross-Site Scripting...). L'auteur a choisi une approche à la fois théorique et pratique avec des exercices à réaliser sur une plateforme de travail dédiée.

Une fois ces trois chapitres lus, le lecteur est conduit vers les concepts du code sécurisé avec toutes les bonnes pratiques à mettre en action lors du développement d'applications ainsi qu'en matière de protection des données personnelles.

Les deux derniers chapitres sont consacrés à la création d'un cycle de développement sécurisé, présentant les différents intervenants et les actions concrètes à mettre en place par un manager dans une organisation possédant des applications web. L'auteur conclut ces deux chapitres par une mise en situation qu'il donne à titre d'exemple.

Des éléments complémentaires sont en téléchargement sur le site www.editions-eni.fr.


Les chapitres du livre :
Préface – Avant-propos – Introduction à la sécurité des applications web – Panorama de la sécurité web – Top 10 des risques et vulnérabilités liés au Web – Les concepts du développement sécurisé – Établir un cycle de développement sécurisé – Aller plus loin avec un modèle de maturité



Retrouvez le webinaire consacré au Top Ten OWASP.



Grâce à ce webinaire apprenez-en plus sur les vulnérabilités du TOP 10 OWASP (Open Web Application Security Project), le classement qui fait référence dans le domaine de la sécurité informatique.



Retrouvez le webinaire sur Burp Suite et la vulnérabilité sur mobile.



Grâce à ce webinaire apprenez-en plus sur la Suite Burp à  travers des exemples pratiques sur la configuration, les options target, scope  et spider, l'outil repeater, l'intruder…

Téléchargements

Introduction
  1. Préface
  2. Avant-propos
Introduction à la sécurité des applications web
  1. Quelques chiffres sur le Web et la sécurité
  2. À qui s’adresse ce livre ?
  3. Anatomie d’une application web
  4. Frameworks et CMS
  5. Méthodes classiques et méthodes agiles
  6. Sécurité des systèmes d’information
  7. Les différents axes de sécurisation d’une application web
  8. DevSecOps
Panorama de la sécurité web
  1. Introduction
  2. Les normes et référentiels
    1. 1. ISO/IEC 27034
    2. 2. PCI-DSS et PA-DSS
    3. 3. HIPAA
    4. 4. CNIL (commission nationale de l’informatique et deslibertés)
    5. 5. GDPR (General Data Protection Regulation)
  3. Les bibliothèques, projets et recommandations
    1. 1. MITRE CWE
    2. 2. BSIMM
    3. 3. OpenSAMM
    4. 4. SDL de Microsoft
    5. 5. Cigital touchpoint
    6. 6. OWASP CLASP
    7. 7. Note technique de l’ANSSI
    8. 8. Recommandations du CLUSIF
    9. 9. NIST
  4. Les guides et bonnes pratiques
    1. 1. OWASP TOP 10
    2. 2. OWASP testing guide
    3. 3. OWASP ASVS
    4. 4. OWASP code review guide
  5. Les technologies liées à la sécurité web
    1. 1. Analyse de code statique (SAST)
    2. 2. Analyse de code dynamique (DAST)
    3. 3. Tests interactifs de la sécurité desapplications (IAST)
    4. 4. Autoprotection des applications (RASP)
    5. 5. Pare-feu applicatif (WAF)
    6. 6. Outil de suivi de bugs (issue tracking system)
  6. La sécurité des navigateurs et serveurs web
    1. 1. SOP, CORS
    2. 2. HSTS
    3. 3. X-frame-options, x-content-type-options, x-xss-protection
    4. 4. Content Security Policy
    5. 5. FLAG SECURE, HTTPONLY COOKIE
    6. 6. Authentification HTTP
Top 10 des risques et vulnérabilités liés au Web
  1. Le top 10 des menaces du Web
  2. Comprendre les risques selon l’OWASP
  3. Installation de la plateforme de travail
  4. Les injections
    1. 1. Les risques
    2. 2. Injection SQL
    3. 3. Injection XPath
    4. 4. Injection XXE (XML External Entity)
    5. 5. Injection LDAP
    6. 6. Injection de code
  5. Violation de gestion d’authentification et de session
    1. 1. Présentation et risques
    2. 2. Vol de session (session hijacking)
    3. 3. Faiblesses des mots de passe
    4. 4. Mot de passe non protégé en basede données
    5. 5. Faiblesses dans la conception des sessions
  6. Cross-Site Scripting (XSS)
    1. 1. Présentation et risques
    2. 2. XSS stocké (stored)
    3. 3. XSS Réfléchi (reflected)
    4. 4. XSS DOM (Document Object Model)
  7. Références directes non sécurisées à un objet
    1. 1. Présentation et risques
    2. 2. Entrées directes cachées et noncontrôlées
    3. 3. Entrées indirectes cachées et noncontrôlées
  8. Mauvaise configuration de sécurité
    1. 1. Présentation et risques
    2. 2. Scénarios
  9. Exposition de données sensibles
    1. 1. Présentation et risques
    2. 2. Scénarios
  10. Manque de contrôle d’accès au niveau fonctionnel
    1. 1. Présentation et risques
    2. 2. Local/remote file inclusion
    3. 3. Host Header Attack
    4. 4. User-agent spoofing
    5. 5. Server Side Request Forgery (SSRF)
  11. Cross Site Request Forgery (CSRF)
    1. 1. Présentation et risques
    2. 2. CSRF et requête POST
  12. Exploitation de vulnérabilités connues
    1. 1. Présentation et risques
    2. 2. WPScan
    3. 3. Nikto
    4. 4. OpenVAS
    5. 5. Qualys SSL Labs
  13. Redirections et renvois non validés
Les concepts du développement sécurisé
  1. Les 10 commandements du code sécurisé
    1. 1. Authentification
    2. 2. Management des sessions
    3. 3. Contrôle d’accès
    4. 4. Validation des entrées
    5. 5. Encodage des sorties
    6. 6. Upload de fichiers
    7. 7. XSS
    8. 8. CSRF
    9. 9. Clickjacking
    10. 10. Enregistrement des événements
  2. Outils indispensables de la sécurité web
    1. 1. Analyse de code
    2. 2. Fuzzing
    3. 3. Web Application Firewall (WAF)
    4. 4. Scan de vulnérabilités
    5. 5. Test de pénétration (Pentest)
  3. Secure by design
    1. 1. Réduction des surfaces d’attaque
    2. 2. Défense en profondeur
    3. 3. Séparation des privilèges
    4. 4. Paramètres par défaut respectantla sécurité
  4. Modélisation des menaces (threat modeling)
    1. 1. Qu’est-ce que la modélisation desmenaces ?
    2. 2. Schéma de votre architecture avec DFD
    3. 3. Identification des menaces avec la méthodeSTRIDE
    4. 4. Documentation et atténuation des menaces
    5. 5. Validation de votre rapport
  5. Respect de la vie privée
    1. 1. Types de données personnelles
    2. 2. Principes de la protection des données personnelles
    3. 3. Notifications
    4. 4. Consentements
Établir un cycle de développement sécurisé
  1. Introduction
  2. Sensibilisation des parties prenantes
    1. 1. Thèmes à enseigner
    2. 2. Évaluation des stagiaires
    3. 3. Exemple
  3. Exigences
    1. 1. Définition du projet
    2. 2. Évaluation des exigences pour la sécurité
    3. 3. Évaluation des exigences pour les donnéespersonnelles
    4. 4. Plan d’action et analyse des coûts
    5. 5. Identification du responsable et du conseiller
    6. 6. Amélioration de la gestion des bugs
    7. 7. Exemple
  4. Conception
    1. 1. Définition des exigences de conception
    2. 2. Réduction de la surface d’attaque
    3. 3. Modélisation des menaces (Threat Modeling)
    4. 4. Exemple
  5. Code
    1. 1. Revue de code manuelle
    2. 2. Management des sessions
    3. 3. Contrôle d’accès
    4. 4. Validation des entrées
    5. 5. Encodage des sorties
    6. 6. Upload de fichiers
    7. 7. XSS
    8. 8. CSRF
    9. 9. Clickjacking
    10. 10. Enregistrement des événements
    11. 11. Blacklist des fonctions obsolètes
    12. 12. Analyse statique du code
    13. 13. Exemple
  6. Test
    1. 1. Analyse dynamique
    2. 2. Test de fuzzing
    3. 3. Test de pénétration (Pentest)
    4. 4. Exemple
  7. Déploiement
    1. 1. Création d’un plan de réponse auxincidents
    2. 2. Conduite d’une revue finale
    3. 3. Exemple
Aller plus loin avec un modèle de maturité
  1. Process model vs maturity model
  2. BSIMM vs OpenSAMM
    1. 1. BSIMM
    2. 2. De OpenSAMM
  3. Exemple
    1. 1. Questionnaire d’évaluation
    2. 2. Création de scorecard
    3. 3. Mise en place d’une feuille de route
  4. Conclusion
Conclusion
  1. Conclusion
Auteur : Jérôme THÉMÉE

Jérôme THÉMÉE

Jérôme THÉMÉE est enseignant et consultant dans le domaine de la sécurité de l'information, et plus particulièrement dans le domaine de la sécurité applicative. Passionné par la sécurité web et les techniques de hacking depuis plus 18 ans, il partage avec plaisir toutes ses connaissances avec le lecteur pour lui fournir un livre réellement opérationnel sur la sécurité des applications web. Co-fondateur du label ESDacademy (https://esdacademy.eu), son activité consiste principalement au développement de formations, diplômes, certifications en cybersécurité.
En savoir plus

Nos nouveautés

voir plus
Angular 16 Développez des applications dynamiques et interactives Angular 16 - Développez des applications dynamiques et interactives Sublime Text Prise en main de l’éditeur de texte pour les développeurs Sublime Text - Prise en main de l’éditeur de texte pour les développeurs Algorithmique Des bases à la programmation orientée objet en Java (avec exercices et corrigés) (2e édition) Algorithmique - Des bases à la programmation orientée objet en Java (avec exercices et corrigés) (2e édition) Excel 2021 Coffret de 2 livres : Apprendre et concevoir des tableaux financiers Excel 2021 - Coffret de 2 livres : Apprendre et concevoir des tableaux financiers Gestion du Système d’Information Soyez agile grâce au bureau des programmes Gestion du Système d’Information - Soyez agile grâce au bureau des programmes Kubernetes Mise en œuvre d'un cluster et déploiement de microservices (2e édition) Kubernetes - Mise en œuvre d'un cluster et déploiement de microservices (2e édition) Les outils du Marketing Digital Outils traditionnels et intelligence artificielle au service du marketing Les outils du Marketing Digital - Outils traditionnels et intelligence artificielle au service du marketing Maintenance et dépannage d'un PC en réseau (8e édition) Maintenance et dépannage d'un PC en réseau (8e édition) PowerShell Fonctionnalités avancées (2e édition) PowerShell - Fonctionnalités avancées (2e édition) Ubuntu Coffret de 2 livres : Utilisez et administrez votre système Linux (3e édition) Ubuntu - Coffret de 2 livres : Utilisez et administrez votre système Linux (3e édition) WordPress Un CMS pour créer et gérer blogs et sites web (2e édition) WordPress - Un CMS pour créer et gérer blogs et sites web (2e édition) Illustrator 2023 Les fonctions essentielles Illustrator 2023 - Les fonctions essentielles