Sélectionner une page

Qualité et sécurité des applications : sécuriser une application

Formation, Informatique

Télécharger le programme de la formation !

Objectifs de la formation

  • Connaitre les différents types d’attaques (attaques par injection SQL, attaques XSS, attaques CSRF, attaques brute force, …) et les moyens à mettre en œuvre pour s’en prémunir

Participants / Pré-requis

  • Cette formation s’adresse aux développeurs souhaitant connaître les différentes techniques de sécurisation d’une application

  • Pour suivre ce stage, il est nécessaire d’avoir une bonne connaissance de la programmation orientée objet et de la programmation d’applications Web

Moyens pédagogiques

  • Alternance entre apports théoriques (40%) et exercices pratiques (60%)
  • Support de cours fourni lors de la formation

Programme

1. Concepts de sécurité logicielle

  • Pourquoi sécuriser une application
  • Identifier et comprendre les vulnérabilités de vos applications Attaques « brute-force »
  • Attaques par « déni de services » (DOS - Denial Of Service)
  • Attaques par analyse de trames IP
  • Attaques par « Injection SQL »
  • Attaques « XSS » (Cross site scripting)
  • Attaques « CSRF » (Cross site request forgery)
  • Autres types d’attaques
  • Outils de détection de faille de sécurité
  • Travaux pratiques : tests de ces différents types de problèmes sur une application mal développée et utilisation des outils de détection de faille de sécurité

2. Validation des données entrantes

  • Protection contre les entrées d'utilisateurs nuisibles
  • Utilisation d'expressions régulières
  • Détecter et contrer les « injections SQL »
  • Détecter et contrer les attaques « XSS »
  • Détecter et contrer les attaques « CSRF »
  • Détecter et contrer les attaques « bruteforce »
  • Sécuriser les données en Cookie
  • Protection contre les menaces de déni de service
  • Ne pas présenter à l’utilisateur les détails des erreurs techniques
  • Travaux pratiques : modification du code de l’application initialement proposée pour interdire ces différents types d’attaques

3. Sécuriser les données stockées en base

  • Authentification et Autorisation du SGBDr (Système de Gestion de Base de Données relationnelle)
  • Rôles serveur et rôles de base de données
  • Propriété et séparation utilisateur schéma
  • Chiffrement de données dans la base de données
  • Travaux pratiques : stocker de manière sécurisée les mots de passe en base de données

4. Sécuriser le système de fichier

  • Crypter les données sensibles dans les fichiers de configuration
  • Détecter les tentatives de remplacement des fichiers sources de l’application Signer les fichiers
  • Protéger les informations des fichiers de log

5. Oauth 2.0 et l’authentification au niveau du navigateur

  • Présentation de l'architecture Oauth 2.0
  • Utilisation de l’API Oauth 2.0
  • Travaux pratiques : mise en œuvre de Oauth

6. Sécuriser les échanges de données

  • Modèle de chiffrement
  • Conception orientée flux
  • Configuration du chiffrement
  • Choix d'un algorithme
  • Mettre en œuvre le chiffrage symétrique
  • Mettre en œuvre le chiffrage asymétrique
  • Travaux pratiques : réaliser une communication sécurisée à l’aide d’un certificat

Intéressé par une de nos formation ? Inscrivez-vous ou contactez votre conseiller AFIB !

Intéressé par une de nos formations ? Inscrivez-vous ou contactez votre conseiller AFIB !