Formation Sécurité des applications Web avec TechnoWide

Objectifs pédagogiques

Connaitre les différents types d’attaques (attaques par injection SQL, attaques XSS, attaques CSRF, attaques brute force, …) et les moyens à mettre en oeuvre pour s’en prémunir
Voir plus Voir moins

Concepts de sécurité logicielle
• Pourquoi sécuriser une application
• Identifier et comprendre les vulnérabilités de vos applications Attaques « brute-force »
• Attaques par « déni de services » (DOS - Denial Of Service)
• Attaques par analyse de trames IP
• Attaques par « Injection SQL »
• Attaques « XSS » (Cross site scripting)
• Attaques « CSRF » (Cross site request forgery)
• Autres types d’attaques
• Outils de détection de faille de sécurité
• Travaux pratiques : tests de ces différents types de problèmes sur une application mal développée et utilisation des outils de détection de faille de sécurité
Validation des données entrantes
• Protection contre les entrées d'utilisateurs nuisibles
• Utilisation d'expressions régulières
• Détecter et contrer les « injections SQL »
• Détecter et contrer les attaques « XSS »
• Détecter et contrer les attaques « CSRF »
• Détecter et contrer les attaques « bruteforce »
• Sécuriser les données en Cookie
• Protection contre les menaces de déni de service
• Ne pas présenter à l’utilisateur les détails des erreurs techniques
• Travaux pratiques : modification du code de l’application initialement proposée pour interdire ces différents types d’attaques
Sécuriser les données stockées en base
• Authentification et Autorisation du SGBDr (Système de Gestion de Base de Données relationnelle)
• Rôles serveur et rôles de base de données
• Propriété et séparation utilisateur schéma
• Chiffrement de données dans la base de données
• Travaux pratiques : stocker de manière sécurisée les mots de passe en base de données
Sécuriser le système de fichier
• Crypter les données sensibles dans les fichiers de configuration
• Détecter les tentatives de remplacement des fichiers sources de l’application Signer les fichiers
• Protéger les informations des fichiers de log
Oauth 2.0 et l’authentification au niveau du navigateur
• Présentation de l'architecture Oauth 2.0
• Utilisation de l’API Oauth 2.0
• Travaux pratiques : mise en oeuvre de Oauth
Sécuriser les échanges de données
• Modèle de chiffrement
• Conception orientée flux
• Configuration du chiffrement
• Choix d'un algorithme
• Mettre en oeuvre le chiffrage symétrique
• Mettre en oeuvre le chiffrage asymétrique
• Travaux pratiques : réaliser une communication sécurisée à l’aide d’un certificat
Voir plus Voir moins