Formation AppSec pour les développeurs

Description de la formation

Le test d’intrusion tend à détecter les vulnérabilités de sécurité à la fin du SDLC et il est alors souvent trop tard pour influencer des changements fondamentaux dans la façon dont le code est écrit.

Cette formation est délivrée pour les développeurs afin de les aider à coder de manière sécurisée car il est plus que jamais essentiel d'introduire la sécurité comme un élément de qualité dans le cycle de développement pour devenir security "by design”.

Objectifs d'apprentissage

Tout au long de cette formation, les développeurs seront en mesure de se mettre sur la même longueur d'onde que les professionnels de la sécurité, de comprendre leur langage, d'apprendre comment corriger les vulnérabilités apprises pendant la formation et de se familiariser avec certaines brèches du monde réel, tel que la brèche "Equifax" en septembre 2017. Diverses études de cas de bug bounty provenant de sites web populaires tels que Facebook, Google, Shopify, Paypal, Twitter, etc. seront discutées et expliqueront les répercussions financières des vulnérabilités de sécurité des applications telles que les SSRF, XXE, injection SQL, problèmes d'authentification, etc.

Les techniques abordées dans cette formation sont principalement axées sur les technologies .NET, Java et NodeJS en raison de leur adoption massive dans diverses entreprises pour la création d'applications web. Cependant, l'approche reste générique et les développeurs issus d'autres langages peuvent facilement saisir et mettre en œuvre les connaissances acquises dans leur propre environnement.

Les participants devront participer à un CTF (Capture The Flag) au cours duquel ils devront identifier des vulnérabilités dans des extraits de code provenant d'applications réelles.

Durée du cours et lieu

La formation dure 2 jours et peut être dispensée en présentielle ou à distance.

Langue

Formation dispensée en anglais.

Certification supplémentaire

Check Point Certified Pen Testing Expert (CCPE).

Au programme

Il s'agit d’une formation très pratique qui s'adresse aux développeurs web, aux pentesters et à toute personne souhaitant écrire du code sécurisé ou vérifier le code contre les failles de sécurité. La formation couvre une variété de meilleures pratiques de sécurité et d'approches de défense approfondies dont les développeurs devraient être conscients lors du développement d'applications. Celle-ci aborde également certaines techniques rapides que les développeurs peuvent utiliser pour identifier divers problèmes de sécurité tout au long du processus de révision du code.

Les participants peuvent accéder à notre HackLab qui est truffé de multiples vulnérabilités. Ils bénéficieront de démonstrations et d'exercices pratiques sur les vulnérabilités afin de mieux comprendre et appréhender les problèmes, puis de diverses techniques et recommandations sur la manière de les corriger. Bien que le cours couvre les normes de l'industrie telles que le top 10 de l'OWASP et le top 25 des problèmes de sécurité du SANS, il couvre aussi divers problèmes du monde réel tels que les failles d'autorisation.

Qui devrait participer

Cette formation est idéale pour les développeurs de logiciels/web, les développeurs PL/SQL, les auditeurs sécurité, les administrateurs, les DBA et les responsables de la sécurité. Une expérience préalable des tests d'intrusion n'est pas obligatoire, mais une certaine connaissance des services Cloud et une familiarité avec les lignes de commande courantes seront bénéfiques.

Configuration

Les participants doivent apporter leur propre ordinateur portable avec la dernière version de Java (JDK) installée. Ils auront accès à notre laboratoire en ligne : HackLab, qui a été construit sur le dernier framework .NET ASPX, ainsi qu'à tous les outils et matériels requis pendant le cours.