03 20 61 95 00

Formation Sécuriser les applications Web .NET et Java


  • SAWJ
  • Durée : 3 jours
  • Tarif : 2390 € HT

Objectifs

Identifier et décrire les enjeux de la sécurité
Identifier et décrire les failles de sécurité et les différents types d’attaques des applications Web
Sécuriser les accès à une base de données
Valider les saisies utilisateurs des applications Web
Identifier et mettre en oeuvres les mécanismes d’authentification et de gestion des autorisations
Protéger le code des applications
Définir et exécuter des plans de tests
Sécuriser et protéger l’intégrité des données échangées sur les réseaux

Prérequis

Cursus Java :
– Avoir suivi les formations « Les fondamentaux de la programmation Java » ET Développement d’applications Web Java EE », ou posséder les connaissances et compétences équivalentes.

Cursus .NET :
– Avoir suivi les formations « Les fondamentaux du développement .NET avec le langage C# sous Visual Studio » et « Développer des applications Web ASP.NET Core MVC en C# sous Visual Studio », ou posséder les connaissances et compétences équivalentes..

Public

Concepteurs / Développeurs, Chefs de projets, Architectes Techniques.

enveloppe Cette formation vous intéresse ? Contactez-nous

A distance / Classe virtuelle

En classe virtuelle, vous êtes en totale immersion avec le groupe et participez à la formation dans les mêmes conditions que le présentiel : cours théorique, travaux pratiques, échanges en temps réel avec le formateur et les autres stagiaires…

Notre formateur

La formation est animée par un professionnel de l’informatique et de la pédagogie, dont les compétences techniques, professionnelles et pédagogiques ont été validées par des certifications et/ou testées et approuvées par les éditeurs et/ou notre équipe pédagogique. Il est en veille technologique permanente et possède plusieurs années d’expérience sur les produits, technologies et méthodes enseignés. Il est présent auprès des stagiaires pendant toute la durée de la formation.

Présentiel

Formations intra ou interentreprises, cours officiels ou création de contenu spécifique, nos formations sauront répondre à vos attentes.
illustration-formation
Les + d'une formation Access it
Des formations d'excellence, éligibles CPF, disponibles en distanciel, et animées par des consultants experts passionnés par leur métier.
En savoir plus
modules

Les Modules
de formation

Module 1
Principes de base de la sécurité des applications

L’importance de la sécurité
Contre qui et quoi se défendre ?
Les failles de sécurité classiques
Comment une attaque survient ?
Les challenges de la sécurité
– Identification : les différentes méthodes
– Autorisation et permissions d’accès
– Confidentialité : les mécanismes de cryptage

Module 2
Les bonnes pratiques

Les patterns de programmation
La gestion des mots de passe
– Fonctionnalités de cryptage disponibles dans les plateformes de développement

Les frameworks
– La prise en charge des contre-mesures dans les librairies et frameworks applicatifs

Travaux pratiques :
– Présentation de librairies et frameworks et de leurs fonctionnalités natives pour la sécurisation des applications dans les différentes plateformes de développement

Module 3
Sécuriser l’accès aux bases de données

Scénarii d’authentification vers une base de données
Les chaînes de connexion et pools de connexions
Crypter les fichiers de configuration
Les attaques par SQL Injection
– Différentes techniques pour s’en prémunir

Travaux pratiques :
– Mise en œuvre d’une application se connectant aux données et mise en œuvre des conditions d’injection SQL puis correction de la faille de sécurité

Module 4
La sécurité informatique dans un contexte Web

Le projet OWASP (Open Web Application Security Project)
– Présentation du projet

– Analyse des préconisations et bonnes pratiques du référentiel OWASP

Les différentes attaques et vulnérabilités des applications et sites Web
– CSRF, XSS, SQL Injection, Remote Code Injection

Présentation des attaques et des contre-mesures associées
– La théorie des techniques de contre-mesure

– L’apport des frameworks de développement Web pour la sécurité

Travaux pratiques :
– Importation d’un projet d’application Web

– Identification des failles dans l’application

– Définition de la stratégie de sécurisation

– Observation des requêtes GET et POST, mise en place d’un sniffer de trames réseaux

Module 5
Validation des données dans les applications Web

Identifier les sources de données
Attaques par les cookies, HTTP et JavaScript Injection
Les contrôles de validation de données
Gestion des erreurs
Travaux pratiques :
– Attaque par injection de JavaScript

– Attaque par soumission de formulaire non sécurisé côté serveur

– Attaque d’un site Web et provocation d’un déni de service

Module 6
Authentification et autorisations dans les applications Web

Les différents modes d’authentification
– Basic, Digest, Client-Cert, …

Scénarii d’authentification dans une application Intranet/Internet
Authentification des applications clientes JavaScript
– Principes et contraintes pour les applications distantes

– Les mécanismes d’authentification : OAuth2, JSON Web Token, …

Autorisations : les rôles de sécurité
– Définition et déclaration

– Principes de mappage avec l’existant

Stratégie de sécurité des différents types d’applications
Paramétrage d’un conteneur Web/d’applications pour la sécurité
Paramétrage d’un référentiel d’authentification
Utilisation d’un connecteur HTTPS
Travaux pratiques :
– Sécuriser un site Web

– Déclaration d’une stratégie de restriction d’accès aux URLs dans une application Web

– Configuration d’un serveur pour l’authentification

– Configurer l’accès HTTPS d’un serveur

Module 7
Protéger les données, leur transfert et leur l’intégrité

Introduction à la cryptographie
Cryptage, hachage et signature
Cryptage symétrique et asymétrique
Vérifier l’intégrité des données avec le hachage
Communication sécurisée avec SSL
Les API de cryptage et de protection de données
Travaux pratiques :
– Mise en œuvre d’un cryptage de données sensibles (mot de passe, …)

– Mise en œuvre d’une politique de vérification de l’intégrité des données basées sur le hachage

Module 8
Sécurité d’accès au code

Présentation
Sécurité d’accès au code dans une application
Bases fondamentales de la sécurité d’accès au code
Vérifications de sécurité
Décompilation, protection et obfuscation de code
Le cas des plateformes Java et .NET
– Stratégie d’accès au code au niveau du Runtime

Travaux pratiques :
– Création d’une application et mise en place des politiques de sécurité

– Présentation de la décompilation de byte-code

– Présentation d’une solution de brouillage de code

Module 9
Tester la sécurité des applications

Scénarii de tests
Créer un plan de test de sécurité
Trouver les interfaces à tester
Tester l’authentification, les autorisations
Tester les applications We

Cette formation vous intéresse ? Contactez-nous !

Les données personnelles collectées sont destinées à Access IT Company et utilisées pour traiter votre demande et, lorsque vous ne vous y êtes pas opposé, vous communiquer nos offres commerciales. Les données obligatoires vous sont signalées sur le formulaire par un astérisque. L’accès aux données est strictement limité par Access IT Company aux collaborateurs en charge du traitement de votre demande. Conformément au Règlement européen n°2016/679/UE du 27 avril 2016 sur la protection des données personnelles et à la loi « informatique et libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès, de rectification, d’effacement, de portabilité et de limitation du traitement des donnés vous concernant ainsi que du droit de communiquer des directives sur le sort de vos données après votre mort. Vous avez également la possibilité de vous opposer au traitement des données vous concernant. Vous pouvez exercer vos droits en contactant le DPO à l’adresse suivante : dpo@access-it.fr ou à l’adresse postale suivante 2, Allée Lavoisier, 59650 Villeneuve d’Acscq. Pour plus d’informations sur le traitement de vos données personnelles par Access IT Company, veuillez consulter notre politique de confidentialité disponible sur notre site internet à l’adresse suivante : https://www.access-it.fr/politique-de-confidentialite/