Description
Objectif de formation : A l’issue de la formation, le stagiaire sera capable de mettre en oeuvre les règles et bonnes pratiques liées au développement sécurisé d’applications.
Objectifs pédagogiques
- Comprendre les problématiques de sécurité des applications
- Connaitre les principales menaces et vulnérabilité
- Appréhender les méthodologies / technologies de protection et de contrôle de la sécurité des applications
- Mettre en place une stratégie de veille
Public concerné
Architectes
Développeurs
Analystes
Chefs de projets
Prérequis
Posséder une bonne connaissance de la programmation objet et de la programmation d'application Web
Déroulé du programme
1
Sécurité du framework & du code
- Principe fondamentaux
- Accès du code et des ressources
- Rôles et sécurité
- W^X
- Le chiffrement
- Validation et contrôle des entrées / sorties
- Gestion et masquage d'erreurs
- Sécurisation de la gestion de la mémoire
- Authenticité et intégrité d'une application
- Offuscation du code
- Droits et contrôles avant exécution du code
- Données sensible dans un binaire
- Reverse engineering
- Stack/Buffer/Heap overflow
2
Introduction à la cryptographie
- Notions et définition
- Présentation des types de chiffrement
- Symétrique // Asymétrique
- Combinaisons Symétrique & Asymétrique
- Hachage et sels
- Signatures numériques : processus de signature et de vérification
3
Chiffrement, Hash et Signature des données
- Les acteurs du marchés : les CSP
- Système, sécurité et cryptographie
- Les algorithmes de chiffrement
- Chiffrement symétrique
- Algorithmes asymétriques
- RSA, DSA, GPG
- Algorithme de hachage
- Travaux pratiques : choisir un algorithme de chiffrement selon le cas pratique et justifier le choix
4
Vue d'ensemble d'une infrastructure à clé publique
- Certificat numérique : X.509
- PKI - Définitions
- Fonctions PKI
- Composantes PKI
- Fonctionnement PKI
- Applications PKI
- IPSec et SSL en entreprise
- Smart Cards
- Autorité de certification
5
SSL : certificat de serveur, utilisation et certificats clients
- Certificat de serveur SSL
- Certificat client
- Fonctionnement de SSL : les phases
- Couverture d'utilisation
- Dates d'utilisation
6
Sécurité des services web
- Objectifs de la sécurisation
- Limitations SSL
- WSE 2.0
- Sécurisation des messages SOAP / REST
7
Jetons de sécurité
- Présentation des différents types de jetons
- Intégrité d'un jeton
- Cycle de vie d'un jeton
- Habilitation & contexte
- Certificats X.509
- Signature des messages SOAP/REST
8
Sécurité et développement Web
- Erreurs fréquentes
- Classification des attaques
- Authentification par jeton
- Gestion des habilitations
- Handlers et méthodes HTTP
- Contexte de sécurité : séparation des handlers
- Attaque par injection : HTML, CSS, JS, SQLXSS
- XSS Cookie Stealer
- Cross-Site Request Forgery
9
Outils de sécurité et d'audit
- Outils du SKD
- Présentation des outils de tests de sécurité
Informations
Durée
3 jour(s)
21h
Tarif
1850 € HT
HT
