Identifier et décrire les enjeux de la sécurité
Identifier et décrire les failles de sécurité et les différents types d’attaques des applications Web
Sécuriser les accès à une base de données
Valider les saisies utilisateurs des applications Web
Identifier et mettre en oeuvres les mécanismes d’authentification et de gestion des autorisations
Protéger le code des applications
Définir et exécuter des plans de tests
Sécuriser et protéger l’intégrité des données échangées sur les réseaux
- Développement
- Java
Formation Sécuriser les applications Web .NET et Java
Objectifs
Prérequis
Cursus Java :
– Avoir suivi les formations « Les fondamentaux de la programmation Java » ET Développement d’applications Web Java EE », ou posséder les connaissances et compétences équivalentes.
Cursus .NET :
– Avoir suivi les formations « Les fondamentaux du développement .NET avec le langage C# sous Visual Studio » et « Développer des applications Web ASP.NET Core MVC en C# sous Visual Studio », ou posséder les connaissances et compétences équivalentes..
Public
Concepteurs / Développeurs, Chefs de projets, Architectes Techniques.
A distance / Classe virtuelle
En classe virtuelle, vous êtes en totale immersion avec le groupe et participez à la formation dans les mêmes conditions que le présentiel : cours théorique, travaux pratiques, échanges en temps réel avec le formateur et les autres stagiaires…
Eligible CPF
Contactez nous pour connaitre les modalités d’inscription au titre du Compte Personnel de Formation
Notre formateur
La formation est animée par un professionnel de l’informatique et de la pédagogie, dont les compétences techniques, professionnelles et pédagogiques ont été validées par des certifications et/ou testées et approuvées par les éditeurs et/ou notre équipe pédagogique. Il est en veille technologique permanente et possède plusieurs années d’expérience sur les produits, technologies et méthodes enseignés. Il est présent auprès des stagiaires pendant toute la durée de la formation.
Présentiel
Formations intra ou interentreprises, cours officiels ou création de contenu spécifique, nos formations sauront répondre à vos attentes.
Un cadre Maîtrisé
4 à 6 participants maximum par session pour respecter les objectifs et résultats attendus et pour permettre la réalisation de tous les ateliers pratiques dans de bonnes conditions.
Les + d'une formation Access it
Des formations d'excellence, éligibles CPF, disponibles en distanciel, et animées par des consultants experts passionnés par leur métier.
Les Modules
de formation
Module 1
Tester la sécurité des applications
Scénarii de tests
Créer un plan de test de sécurité
Trouver les interfaces à tester
Tester l’authentification, les autorisations
Tester les applications We
Module 2
Sécuriser l’accès aux bases de données
Scénarii d’authentification vers une base de données
Les chaînes de connexion et pools de connexions
Crypter les fichiers de configuration
Les attaques par SQL Injection
– Différentes techniques pour s’en prémunir
Travaux pratiques :
– Mise en œuvre d’une application se connectant aux données et mise en œuvre des conditions d’injection SQL puis correction de la faille de sécurité
Module 3
Les bonnes pratiques
Les patterns de programmation
La gestion des mots de passe
– Fonctionnalités de cryptage disponibles dans les plateformes de développement
Les frameworks
– La prise en charge des contre-mesures dans les librairies et frameworks applicatifs
Travaux pratiques :
– Présentation de librairies et frameworks et de leurs fonctionnalités natives pour la sécurisation des applications dans les différentes plateformes de développement
Module 4
Principes de base de la sécurité des applications
L’importance de la sécurité
Contre qui et quoi se défendre ?
Les failles de sécurité classiques
Comment une attaque survient ?
Les challenges de la sécurité
– Identification : les différentes méthodes
– Autorisation et permissions d’accès
– Confidentialité : les mécanismes de cryptage
Module 5
Validation des données dans les applications Web
Identifier les sources de données
Attaques par les cookies, HTTP et JavaScript Injection
Les contrôles de validation de données
Gestion des erreurs
Travaux pratiques :
– Attaque par injection de JavaScript
– Attaque par soumission de formulaire non sécurisé côté serveur
– Attaque d’un site Web et provocation d’un déni de service
Module 6
Authentification et autorisations dans les applications Web
Les différents modes d’authentification
– Basic, Digest, Client-Cert, …
Scénarii d’authentification dans une application Intranet/Internet
Authentification des applications clientes JavaScript
– Principes et contraintes pour les applications distantes
– Les mécanismes d’authentification : OAuth2, JSON Web Token, …
Autorisations : les rôles de sécurité
– Définition et déclaration
– Principes de mappage avec l’existant
Stratégie de sécurité des différents types d’applications
Paramétrage d’un conteneur Web/d’applications pour la sécurité
Paramétrage d’un référentiel d’authentification
Utilisation d’un connecteur HTTPS
Travaux pratiques :
– Sécuriser un site Web
– Déclaration d’une stratégie de restriction d’accès aux URLs dans une application Web
– Configuration d’un serveur pour l’authentification
– Configurer l’accès HTTPS d’un serveur
Module 7
Protéger les données, leur transfert et leur l’intégrité
Introduction à la cryptographie
Cryptage, hachage et signature
Cryptage symétrique et asymétrique
Vérifier l’intégrité des données avec le hachage
Communication sécurisée avec SSL
Les API de cryptage et de protection de données
Travaux pratiques :
– Mise en œuvre d’un cryptage de données sensibles (mot de passe, …)
– Mise en œuvre d’une politique de vérification de l’intégrité des données basées sur le hachage
Module 8
La sécurité informatique dans un contexte Web
Le projet OWASP (Open Web Application Security Project)
– Présentation du projet
– Analyse des préconisations et bonnes pratiques du référentiel OWASP
Les différentes attaques et vulnérabilités des applications et sites Web
– CSRF, XSS, SQL Injection, Remote Code Injection
Présentation des attaques et des contre-mesures associées
– La théorie des techniques de contre-mesure
– L’apport des frameworks de développement Web pour la sécurité
Travaux pratiques :
– Importation d’un projet d’application Web
– Identification des failles dans l’application
– Définition de la stratégie de sécurisation
– Observation des requêtes GET et POST, mise en place d’un sniffer de trames réseaux
Module 9
Sécurité d’accès au code
Présentation
Sécurité d’accès au code dans une application
Bases fondamentales de la sécurité d’accès au code
Vérifications de sécurité
Décompilation, protection et obfuscation de code
Le cas des plateformes Java et .NET
– Stratégie d’accès au code au niveau du Runtime
Travaux pratiques :
– Création d’une application et mise en place des politiques de sécurité
– Présentation de la décompilation de byte-code
– Présentation d’une solution de brouillage de code
Les prochaines
sessions de formation
Sur demande
Vous souhaitez organiser cette formation à une date spécifique ?
Contactez-nous en remplissant le formulaire ci-dessous
