Formation Informatique
Qualité et sécurité des applications : sécuriser une application
4-JA-SEA
3 jours, soit 21 heures
Parcours concourant au développement des compétences.
Action de formation réalisée en application des articles L 6313-1 et L 6313-2 du Code du travail.
Si vous êtes en situation de handicap, contactez-nous avant le début de votre formation pour que nous puissions vous orienter efficacement et vous accueillir dans les meilleures conditions.
Objectif(s) de la formation
- Connaitre les différents types d’attaques (attaques par injection SQL, attaques XSS, attaques CSRF, attaques brute force, …) et les moyens à mettre en œuvre pour s’en prémunir
Prochaines Sessions & délais d'accès
Aucune session programmées actuellement pour cette formation.
Veuillez nous consulter pour plus de renseignements.
Délai d'accès maximum : 2 mois,
sauf intra-entreprise ou spécifique : 4 semaines
Les Pré-requis
- Cette formation s’adresse aux développeurs souhaitant connaître les différentes techniques de sécurisation d’une application
- Pour suivre ce stage, il est nécessaire d’avoir une bonne connaissance de la programmation orientée objet et de la programmation d’applications Web
Les Modalités
Modalités de formation et d'évaluation :
- Formation réalisée en présentiel, à distance ou mixte,
- Evaluation des acquis tout au long de la formation : QCM, mises en situation, TP, évaluations orales,
- Toutes nos formations peuvent être organisées dans nos locaux ou sur site,
- Feuille de présence signée en demi-journée, questionnaires d'évaluation de la satisfaction en fin de stage et 60 jours après, attestation de stage et certificat de réalisation.
Les Moyens Pédagogiques
Les Moyens pédagogiques et méthodes mobilisées :
- Formateur expert dans le domaine,
- Mise à disposition d'un ordinateur, support de cours remis à chaque participant, vidéo projecteur, tableau blanc et paperboard,
- Formation à distance à l'aide du logiciel Teams pour assurer les interactions avec le formateur et les autres stagiaires, l'accès aux supports et aux évaluations,
- La formation est basée sur une alternance d'apports théoriques et de mises en pratique.
Programme détaillé
1. Concepts de sécurité logicielle
- Pourquoi sécuriser une application
- Identifier et comprendre les vulnérabilités de vos applications Attaques « brute-force »
- Attaques par « déni de services » (DOS - Denial Of Service)
- Attaques par analyse de trames IP
- Attaques par « Injection SQL »
- Attaques « XSS » (Cross site scripting)
- Attaques « CSRF » (Cross site request forgery)
- Autres types d’attaques
- Outils de détection de faille de sécurité
- Travaux pratiques : tests de ces différents types de problèmes sur une application mal développée et utilisation des outils de détection de faille de sécurité
2. Validation des données entrantes
- Protection contre les entrées d'utilisateurs nuisibles
- Utilisation d'expressions régulières
- Détecter et contrer les « injections SQL »
- Détecter et contrer les attaques « XSS »
- Détecter et contrer les attaques « CSRF »
- Détecter et contrer les attaques « bruteforce »
- Sécuriser les données en Cookie
- Protection contre les menaces de déni de service
- Ne pas présenter à l’utilisateur les détails des erreurs techniques
- Travaux pratiques : modification du code de l’application initialement proposée pour interdire ces différents types d’attaques
3. Sécuriser les données stockées en base
- Authentification et Autorisation du SGBDr (Système de Gestion de Base de Données relationnelle)
- Rôles serveur et rôles de base de données
- Propriété et séparation utilisateur schéma
- Chiffrement de données dans la base de données
- Travaux pratiques : stocker de manière sécurisée les mots de passe en base de données
4. Sécuriser le système de fichier
- Crypter les données sensibles dans les fichiers de configuration
- Détecter les tentatives de remplacement des fichiers sources de l’application Signer les fichiers
- Protéger les informations des fichiers de log
5. Oauth 2.0 et l’authentification au niveau du navigateur
- Présentation de l'architecture Oauth 2.0
- Utilisation de l’API Oauth 2.0
- Travaux pratiques : mise en œuvre de Oauth
6. Sécuriser les échanges de données
- Modèle de chiffrement
- Conception orientée flux
- Configuration du chiffrement
- Choix d'un algorithme
- Mettre en œuvre le chiffrage symétrique
- Mettre en œuvre le chiffrage asymétrique
- Travaux pratiques : réaliser une communication sécurisée à l’aide d’un certificat
Nos conseillers en formation sont disponibles pour vous recommander les parcours à suivre selon votre niveau et vous proposer des formations sur-mesure.
Une formation pour un applicatif métier, un déploiement national de formation, nous vous orientons dans votre plan de développement des compétences.