Formation Développeur Web - Sécurité des applications

• Principe fondamentaux
• Accès du code et des ressources
• Rôles et sécurité
• W^X
• Le chiffrement
• Validation et contrôle des entrées / sorties
• Gestion et masquage d’erreurs
• Sécurisation de la gestion de la mémoire
• Authenticité et intégrité d’une application
• Offuscation du code
• Droits et contrôles avant exécution du code
• Données sensible dans un binaire
• Reverse engineering
• Stack/Buffer/Heap overflow

• Notions et définition
• Présentation des types de chiffrement
• Symétrique // Asymétrique
• Combinaisons Symétrique & Asymétrique
• Hachage et sels
• Signatures numériques : processus de signature et de vérification

• Les acteurs du marchés : les CSP
• Système, sécurité et cryptographie
• Les algorithmes de chiffrement
• Chiffrement symétrique
• Algorithmes asymétriques
• RSA, DSA, GPG
• Algorithme de hachage

Travaux pratiques

Choisir un algorithme de chiffrement selon le cas pratique et justifier le choix

• Certificat numérique : X.509
• PKI – Définitions
• Fonctions PKI
• Composantes PKI
• Fonctionnement PKI
• Applications PKI
• IPSec et SSL en entreprise
• Smart Cards
• Autorité de certification

• Certificat de serveur SSL
• Certificat client
• Fonctionnement de SSL : les phases
• Couverture d’utilisation
• Dates d’utilisation

• Objectifs de la sécurisation
• Limitations SSL
• WSE 2.0
• Sécurisation des messages SOAP / REST

• Présentation des différents types de jetons
• Intégrité d’un jeton
• Cycle de vie d’un jeton
• Habilitation & contexte
• Certificats X.509
• Signature des messages SOAP/REST

• Erreurs fréquentes
• Classification des attaques
• Authentification par jeton
• Gestion des habilitations
• Handlers et méthodes HTTP
• Contexte de sécurité : séparation des handlers
• Attaque par injection : HTML, CSS, JS, SQLXSS
• XSS Cookie Stealer
• Cross-Site Request Forgery

• Outils du SKD
• Présentation des outils de tests de sécurité