IB : 04. Sécurité des applications
Organisme
92911 PARIS LA DEFENSE CEDEXVoir toutes ses formationsAutres organismes proposant cette formation
Durée
Modalités
- Classe virtuelle
- Présentiel
Une attestation de fin de formation sera remise au stagiaire à l'issue de la formation
Prix
Public
Architectes, développeurs, analystes, chefs de projets…
Pré-requis
Posséder une bonne connaissance de la programmation objet et de la programmation d’application Web.
Objectifs pédagogiques
- Comprendre les problématiques de sécurité des applications.
- Connaitre les principales menaces et vulnérabilité.
- Appréhender les méthodologies / technologies de protection et de contrôle de la sécurité des applications.
- Mettre en place une stratégie de veille
Programme détaillé
1. SÉCURITÉ DANS LE FRAMEWORK ET DU CODE
- Concepts fondamentaux
- Sécurité d’accès du code et des ressources
- Sécurité basée sur les rôles
- Le principe du W^X
- Services de chiffrement
- Validation et contrôle des entrées / sorties
- Gestion et masquage d’erreurs
- Gestion sécurisée de la mémoire
- Contrôle d’authenticité et d’intégrité d’une application/d’un code
- Offuscation du code
- Reverse engineering sur : bundle C#, application Java, binaire Windows
- Contrôle des droits avant exécution du code
- Sécuriser les données sensibles présentes dans un binaire
- Stack/Buffer/Heap overflow
2. LES BASES DE LA CRYPTOGRAPHIE
- Cryptographie - Les définitions
- Types de chiffrement : chiffrement à clés partagées, chiffrement à clé publique
- Symétrique vs. asymétrique, combinaisons symétrique / asymétrique
- Fonctions de hachage
- Utilisation des sels
- Signatures numériques, processus de signature, processus de vérification
3. CHIFFREMENT, HASH ET SIGNATURE DE DONNÉES
- Cryptographie Service Providers (CSP)
- System, security, cryptographie
- Choix des algorithmes de chiffrement
- Chiffrement symétrique : algorithme (DES, 3DES, RC2, AES), chiffrement de flux, mode de chiffrement (CBC, ECB, CFB)
- Algorithmes asymétriques
- Algorithme : RSA, DSA, GPG
- Algorithme de hachage : MD5, SHA1 / SHA2 / SH3
4. VUE D'ENSEMBLE D'UNE INFRASTRUCTURE A CLÉ PUBLIQUE (PKI)
- Certificat numérique : certificat X.509
- PKI - Les définitions
- Les fonctions PKI
- PKI - Les composants
- PKI - Le fonctionnement
- Applications de PKI : SSL, VPN, IPSec
- IPSec et SSL en entreprise
- Smart Cards (cartes intelligentes)
- Autorité de certification
5. SSL ET CERTIFICAT DE SERVEUR
- Certificat de serveur SSL : présentation, autorité de certification d’entreprise, autorité de certification autonome
6. UTILISATION DE SSL ET DES CERTIFICATS CLIENTS
- Certificats clients
- Fonctionnement de SSL : phase I, II, III et IV
- Vérification de la couverture d’utilisation d’un certificat (lors du handshake)
- Vérification des dates d’utilisation d’un certificat
7. SÉCURITÉ DES SERVICES WEB
- Objectifs de la sécurisation des services Web : authentification, autorisation, confidentialité et intégrité
- Limitations liées à SSL
- Sécurité des services Web : WSE 2.0, sécurisation des messages SOAP / REST
8. JETONS DE SÉCURITÉ
- Jetons de sécurité : User-Name Token, Binary Token, XML Token, JWT (JSON Web Tokens), Session-based Token
- Intégrité d’un jeton (MAC / HMAC)
- Cycle de vie d’un jeton, expiration automatique (ou pas), contexte d’utilisation d’un jeton
- Habilitations suivant le contexte du jeton
- Certificats X.509
- Signature des messages SOAP / REST : création d’un jeton de sécurité, vérification des messages (MAC / HMAC), chiffrement des messages, déchiffrement du message
9. SÉCURITÉ ET DÉVELOPPEMENT WEB
- Classification des attaques : STRIDE, OWASP
- Les erreurs classiques
- Authentification par jeton et gestion des habilitations
- Les handlers et méthodes HTTP
- Séparation des handlers par contexte de sécurité
- Attaque par injection
- Injection HTML
- Injection CSS
- Injection JS
- Injection SQL
- XSS (Injection croisée de code) : XSS réfléchi, XSS stocké
- XSS Cookie Stealer
- CSRF : Cross-Site Request Forgery
10. ORGANISER LA VEILLE
- Top 10 de l’OWASP
- Le système CVE
- Le système CWE
LES PLUS DE LA FORMATION
- Au-delà des apports théoriques indispensables, cette formation intègre de nombreux ateliers qui apporteront aux participants une expérience pratique de la sécurisation d'applications .Net.
- Des conseils pratiques et méthodologiques sont proposés pour chaque thème évoqué.
- Répartition théorie/pratique : 45% / 55%
- Cette formation se compose d’une alternance d’apports théoriques, de travaux pratiques, de démonstrations, de phases d’échanges entre participants et de synthèses de la part du formateur.