Formation Informatique
Qualité et sécurité des applications : sécuriser une application
4-JA-SEA
3 jours, soit 21 heures
Participants / Pré-requis
- Cette formation s’adresse aux développeurs souhaitant connaître les différentes techniques de sécurisation d’une application
- Pour suivre ce stage, il est nécessaire d’avoir une bonne connaissance de la programmation orientée objet et de la programmation d’applications Web
Les Modalités
Formation réalisée en présentiel ou à distance selon la formule retenue.
Questionnaire d’évaluation de la satisfaction en fin de stage, feuille de présence émargée par demi-journée par les stagiaires et le formateur, Attestation de fin de formation.
Moyens Pédagogiques
- Alternance entre apports théoriques (40%) et exercices pratiques (60%)
- Support de cours fourni lors de la formation
Programme détaillé
1. Concepts de sécurité logicielle
- Pourquoi sécuriser une application
- Identifier et comprendre les vulnérabilités de vos applications Attaques « brute-force »
- Attaques par « déni de services » (DOS - Denial Of Service)
- Attaques par analyse de trames IP
- Attaques par « Injection SQL »
- Attaques « XSS » (Cross site scripting)
- Attaques « CSRF » (Cross site request forgery)
- Autres types d’attaques
- Outils de détection de faille de sécurité
- Travaux pratiques : tests de ces différents types de problèmes sur une application mal développée et utilisation des outils de détection de faille de sécurité
2. Validation des données entrantes
- Protection contre les entrées d'utilisateurs nuisibles
- Utilisation d'expressions régulières
- Détecter et contrer les « injections SQL »
- Détecter et contrer les attaques « XSS »
- Détecter et contrer les attaques « CSRF »
- Détecter et contrer les attaques « bruteforce »
- Sécuriser les données en Cookie
- Protection contre les menaces de déni de service
- Ne pas présenter à l’utilisateur les détails des erreurs techniques
- Travaux pratiques : modification du code de l’application initialement proposée pour interdire ces différents types d’attaques
3. Sécuriser les données stockées en base
- Authentification et Autorisation du SGBDr (Système de Gestion de Base de Données relationnelle)
- Rôles serveur et rôles de base de données
- Propriété et séparation utilisateur schéma
- Chiffrement de données dans la base de données
- Travaux pratiques : stocker de manière sécurisée les mots de passe en base de données
4. Sécuriser le système de fichier
- Crypter les données sensibles dans les fichiers de configuration
- Détecter les tentatives de remplacement des fichiers sources de l’application Signer les fichiers
- Protéger les informations des fichiers de log
5. Oauth 2.0 et l’authentification au niveau du navigateur
- Présentation de l'architecture Oauth 2.0
- Utilisation de l’API Oauth 2.0
- Travaux pratiques : mise en œuvre de Oauth
6. Sécuriser les échanges de données
- Modèle de chiffrement
- Conception orientée flux
- Configuration du chiffrement
- Choix d'un algorithme
- Mettre en œuvre le chiffrage symétrique
- Mettre en œuvre le chiffrage asymétrique
- Travaux pratiques : réaliser une communication sécurisée à l’aide d’un certificat
Les + de la formation
L'examen de certification TOSA (proposé en option) est en français. Il sera passé soit à la fin de la formation, soit ultérieurement dans nos centres de formation. Cet examen de 60 minutes délivrera un diplôme attestant d'un niveau de compétence. Ce cours peut être également animé sur Mac (merci de le préciser à votre conseiller formation).
Nos conseillers en formation sont disponibles pour vous recommander les parcours à suivre selon votre niveau et vous proposer des formations sur-mesure.
Une formation pour un applicatif métier, un déploiement national de formation, nous vous orientons dans votre plan de développement des compétences.