E-Commerce Développeur Sécurité

Programme

 

Jour 1 Introduction à la sécurité applicative · Introduction à la sécurité web : injections SQL, XSS, CSRF, etc. · L'écosystème de la sécurité web · Quels sont les risques de vos clients ? Sachez y répondre ! La sécurité dès la conception · Appliquer un modèle de sécurité · Identifier & minimiser la surface d'attaque · Gérer les erreurs de manière sécurisée · Limiter les privilèges (CGI, backoffice, etc.) · Faire reposer la sécurité sur des principes, frameworks et algorithmes éprouvés · Garder les mécanismes de sécurité simples · Détecter les intrusions (journaux d'événements intelligents, détecter les comportements « anormaux ») · Connaitre les limites de sécurité de l'infrastructure et des services, savoir effectuer une analyse objective du niveau de sécurité de ces éléments Paramètres à prendre en compte lors d'une auto-évaluation · Savoir analyser son propre niveau de sécurité en partant du principe que les attaquants possèdent le code source · Gérer les entrées et actions utilisateur pour éviter les malveillances · Séparation des tâches dans l'application afin d'éviter les incohérences · Comment évaluer et « calibrer » le niveau de sécurité cible dans ces conditions ? Les grandes familles de vulnérabilités récurrentes : · XSS (Cross Site Scripting) o Qu'est ce qu'un XSS ? Dans quel contexte se produit-il et quels sont les impacts potentiels ? o Les différents types de XSS : XSS éphémères, XSS stockés, XSS dans les logs, XSS dans le backoffice o Les vecteurs d'injections o Prévention des XSS

Jour 1

Introduction à la sécurité applicative

· Introduction à la sécurité web : injections SQL, XSS, CSRF, etc.

· L'écosystème de la sécurité web

· Quels sont les risques de vos clients ? Sachez y répondre !

 

La sécurité dès la conception

· Appliquer un modèle de sécurité

· Identifier & minimiser la surface d'attaque

· Gérer les erreurs de manière sécurisée

· Limiter les privilèges (CGI, backoffice, etc.)

· Faire reposer la sécurité sur des principes, frameworks et algorithmes éprouvés

· Garder les mécanismes de sécurité simples

· Détecter les intrusions (journaux d'événements intelligents, détecter les comportements «anormaux »)

· Connaitre les limites de sécurité de l'infrastructure et des services, savoir effectuer une analyse objective du niveau de sécurité de ces éléments

 

Paramètres à prendre en compte lors d'une auto-évaluation

· Savoir analyser son propre niveau de sécurité en partant du principe que les attaquants possèdent le code source

· Gérer les entrées et actions utilisateur pour éviter les malveillances

· Séparation des tâches dans l'application afin d'éviter les incohérences

· Comment évaluer et « calibrer » le niveau de sécurité cible dans ces conditions ?

 

Les grandes familles de vulnérabilités récurrentes :

· XSS (Cross Site Scripting)

Qu'est ce qu'un XSS ? Dans quel contexte se produit-il et quels sont les impacts potentiels ?

Les différents types de XSS : XSS éphémères, XSS stockés, XSS dans les logs, XSS dans le backoffice

Les vecteurs d'injections

Prévention des XSS

 

Travaux Pratiques :

Audit d'un mini site contenant plusieurs XSS puis correction des vulnérabilités.

· Injection SQL

Qu'est ce qu'une injection SQL ? Dans quel contexte se produit-elle ? Quels sont les impacts potentiels ?

Différents types d'injections SQL

Prévention des injections SQL

Travaux Pratiques :

Audit d'un mini site contenant plusieurs types d'injection SQL puis correction.

· CSRF (Cross Site Request Forgery)

Qu'est ce qu'un CSRF ?

Dans quel contexte se produit-il ?

Comment se produit-il et quels sont les impacts ?

Travaux Pratiques :

Audit d'un mini site vulnérable à une CSRF puis correction de la vulnérabilité.

· Gestion des fichiers

File Upload : Risques et Bonnes pratiques liés aux fonctionnalités d'upload de fichiers

File download : Risques et bonnes pratiques liés aux fonctionnalités de téléchargement de fichiers

Travaux Pratiques :

Audit d'un mini site présentant plusieurs vulnérabilités relatives à la gestion des fichiers puis écriture de correctif.

· Autres vulnérabilités moins courantes : Directory Traversal, URL redirection abuse, http

response splitting, etc.

 

Jour 2

Problématiques liées à l'authentification

· Sessions

Problèmes d'entropie

Session guessing

Session fixation

· Cookies

Présence d'informations confidentielles dans les cookies

Transmission des cookies en http

· Mots de passe

Génération des mots de passe

Stockage des mots de passe (chiffrement)

Vérification de robustesse des mots de passe

Gestion des questions de type « Mot de passe perdu »

Accepter des mots de passe en http

Problématique du blocage des comptes (Déni de service)

Faire reposer l'information sur des briques existantes : LDAP, domaine Windows, etc.

· Gestion des privilèges

Les bonnes pratiques pour assurer la sécurité du système de privilèges

Travaux Pratiques :

Audit d'un mini site comportant plusieurs vulnérabilités relatives à l'authentification puis écriture de correctifs

 

Risques liés au spam et à l'utilisation « automatisée » d'un site :

· Prévenir l'utilisation automatisée du site ou d'une de ses fonctionnalités lorsque nécessaire

· Acquérir les bonnes méthodes pour lutter contre l'utilisation automatisée : Captcha et autres tests de Turring

Travaux Pratiques :

Contournement d'un système de captcha.

 

Webservices

· Risques de sécurité liés aux WebServices

 

Problèmes de configuration serveur :

· Configuration PHP, ASP, etc.

· Configuration Apache, IIS, etc.

· Gérer Flash

Travaux Pratiques:

Analyse de configuration d'un serveur Web.

 

Présentation des outils de sécurité à utiliser dans le cadre d'un projet de développement :

· Outils de tests automatisés

· Outils d'analyse statique de code source

· Les méthodes de test manuel : test en ‘boite noire'

· Les méthodes d'audit manuel : apprendre à auditer du code

 

Présentation des frameworks permettant de renforcer efficacement la sécurité d'un développement

Cas pratique :

· Mettre en place rapidement et efficacement des correctifs génériques sur un développement existant

· Analyse de code vulnérable et mise en place de correctifs : Injections SQL, XSS, CSRF, Directory traversal, remote file include, etc

 

Les limites des fonctions de sécurité :

· Clauses order by

· Les XSS ‘browser dependant'

· Appliquer le concept de liste blanche

Travaux Pratiques :

· Audit d'une application souffrant des vulnérabilités étudiées et écriture de correctifs