Référence : RGSfTn7jjACd
Durée : 21 h sur 3 j
ATP FORMATION
VALBONNE
Coder une application peut parfois sembler très simple, mais si le développeur n’est pas aguerri à l’art et la manière de sécuriser son application, on peut courir à la catastrophe.
Détails de la formation
Méthodes et outils pédagogiques
- Nombre de stagiaires limité pour plus de proximité et de meilleurs échanges
- Un poste de travail par stagiaire équipé selon les besoins de la formation
- Alternance apports théoriques, exercices et échanges
Objectifs de la formation
- Connaître les différents types d’attaques (attaques par injection SQL, attaques XSS, attaques CSRF, attaques brute force, …) et les moyens à mettre en œuvre pour s’en prémunir.
Méthodes d'évaluation
- Evaluation formative par le biais de mises en situation nécessitant la participation active du stagiaire et délivrance d’une attestation de fin de formation remise à chaque stagiaire
Les plus
- Grande expérience terrain du formateur qui permet d'échanger sur son retour d'expérience et d'illustrer les propos d'exemples réels
Pré-requis
- Avoir une bonne connaissance de la programmation orientée objet et de la programmation d’applications Web.
Modalités d'enseignement
- En présentiel
- En distanciel
Public cible
Tous publics
Programme
1
CONCEPTS DE SÉCURITÉ LOGICIELLE
- Outils de détection de faille de sécurité
- Identifier et comprendre les vulnérabilités de vos applications
- Attaques "brute-force"
- Attaques par "déni de services" (DOS : Denial Of Service)
- Attaques par analyse de trames IP
- Attaques par "Injection SQL"
- Attaques "XSS" (Cross Site Scripting)
- Attaques "CSRF" (Cross Site Request Forgery)
- Autres types d’attaques
- Pourquoi sécuriser une application ?
- Travaux pratiques (Tests de ces différents types de problèmes sur une application mal développée et utilisation des outils de détection de faille de sécurité)
- Identifier et comprendre les vulnérabilités de vos applications
- Attaques "brute-force"
- Attaques par "déni de services" (DOS : Denial Of Service)
- Attaques par analyse de trames IP
- Attaques par "Injection SQL"
- Attaques "XSS" (Cross Site Scripting)
- Attaques "CSRF" (Cross Site Request Forgery)
- Autres types d’attaques
- Pourquoi sécuriser une application ?
- Travaux pratiques (Tests de ces différents types de problèmes sur une application mal développée et utilisation des outils de détection de faille de sécurité)
2
VALIDATION DES DONNÉES ENTRANTES
- Protection contre les entrées d'utilisateurs nuisibles
- Utilisation d'expressions régulières
- Détecter et contrer les "injections SQL"
- Détecter et contrer les attaques "XSS"
- Détecter et contrer les attaques "CSRF"
- Détecter et contrer les attaques "brute-force"
- Sécuriser les données en Cookie
- Protection contre les menaces de déni de service
- Ne pas présenter à l’utilisateur les détails des erreurs techniques
- Travaux pratiques (Modification du code de l’application initialement proposée pour interdire ces différents types d’attaques)
- Utilisation d'expressions régulières
- Détecter et contrer les "injections SQL"
- Détecter et contrer les attaques "XSS"
- Détecter et contrer les attaques "CSRF"
- Détecter et contrer les attaques "brute-force"
- Sécuriser les données en Cookie
- Protection contre les menaces de déni de service
- Ne pas présenter à l’utilisateur les détails des erreurs techniques
- Travaux pratiques (Modification du code de l’application initialement proposée pour interdire ces différents types d’attaques)
3
SÉCURISER LES DONNÉES STOCKÉES EN BASE
- Authentification et Autorisation du SGBDr (Système de Gestion de Base de Données relationnelle)
- Rôles serveur et rôles de base de données
- Propriété et séparation utilisateur-schéma
- Chiffrement de données dans la base de données
- Travaux pratiques (Stocker de manière sécurisée les mots de passe en base de données)
- Rôles serveur et rôles de base de données
- Propriété et séparation utilisateur-schéma
- Chiffrement de données dans la base de données
- Travaux pratiques (Stocker de manière sécurisée les mots de passe en base de données)
4
SÉCURISER LE SYSTÈME DE FICHIER
- Crypter les données sensibles dans les fichiers de configuration
- Détecter les tentatives de remplacement des fichiers sources de l’application
- Signer les fichiers
- Protéger les informations des fichiers de log
- Détecter les tentatives de remplacement des fichiers sources de l’application
- Signer les fichiers
- Protéger les informations des fichiers de log
5
OAUTH 2.0 ET L’AUTHENTIFICATION AU NIVEAU DU NAVIGATEUR
- Présentation de l'architecture Oauth 2.0
- Utilisation de l’API Oauth 2.0
- Travaux pratiques (Mise en oeuvre de Oauth)
- Utilisation de l’API Oauth 2.0
- Travaux pratiques (Mise en oeuvre de Oauth)
6
SÉCURISER LES ÉCHANGES DE DONNÉES
- Modèle de chiffrement
- Conception orientée flux
- Configuration du chiffrement
- Choix d'un algorithme
- Mettre en œuvre le chiffrage symétrique
- Mettre en œuvre le chiffrage asymétrique
- Travaux pratiques (Réaliser une communication sécurisée à l’aide d’un certificat)
- Conception orientée flux
- Configuration du chiffrement
- Choix d'un algorithme
- Mettre en œuvre le chiffrage symétrique
- Mettre en œuvre le chiffrage asymétrique
- Travaux pratiques (Réaliser une communication sécurisée à l’aide d’un certificat)
Sur la même thématique
Nous contacter
Chambre de Commerce
et d’industrie Nice Côte d’Azur
20 Boulevard Carabacel
CS 11259
06005 NICE CEDEX 1