E-Commerce Développeur Sécurité
Formation
À Paris
Avez-vous besoin d'un coach de formation?
Il vous aidera à comparer différents cours et à trouver la solution la plus abordable.
Description
-
Typologie
Formation
-
Lieu
Paris
Objectifs Maîtriser les problématiques de sécurité liées aux technologies web. Maîtriser l'ensemble des vulnérabilités « web » : savoir comment les éviter, les détecter, les corriger. Acquérir les bonnes pratiques de développement sécurisé
Les sites et dates disponibles
Lieu
Date de début
Date de début
À propos de cette formation
Pré-requis Bonnes connaissances de PHP Connaissances en base de donné...
Les Avis
Le programme
Jour 1 Introduction à la sécurité applicative · Introduction à la sécurité web : injections SQL, XSS, CSRF, etc. · L'écosystème de la sécurité web · Quels sont les risques de vos clients ? Sachez y répondre ! La sécurité dès la conception · Appliquer un modèle de sécurité · Identifier & minimiser la surface d'attaque · Gérer les erreurs de manière sécurisée · Limiter les privilèges (CGI, backoffice, etc.) · Faire reposer la sécurité sur des principes, frameworks et algorithmes éprouvés · Garder les mécanismes de sécurité simples · Détecter les intrusions (journaux d'événements intelligents, détecter les comportements « anormaux ») · Connaitre les limites de sécurité de l'infrastructure et des services, savoir effectuer une analyse objective du niveau de sécurité de ces éléments Paramètres à prendre en compte lors d'une auto-évaluation · Savoir analyser son propre niveau de sécurité en partant du principe que les attaquants possèdent le code source · Gérer les entrées et actions utilisateur pour éviter les malveillances · Séparation des tâches dans l'application afin d'éviter les incohérences · Comment évaluer et « calibrer » le niveau de sécurité cible dans ces conditions ? Les grandes familles de vulnérabilités récurrentes : · XSS (Cross Site Scripting) o Qu'est ce qu'un XSS ? Dans quel contexte se produit-il et quels sont les impacts potentiels ? o Les différents types de XSS : XSS éphémères, XSS stockés, XSS dans les logs, XSS dans le backoffice o Les vecteurs d'injections o Prévention des XSS
Jour 1
Introduction à la sécurité applicative
· Introduction à la sécurité web : injections SQL, XSS, CSRF, etc.
· L'écosystème de la sécurité web
· Quels sont les risques de vos clients ? Sachez y répondre !
La sécurité dès la conception
· Appliquer un modèle de sécurité
· Identifier & minimiser la surface d'attaque
· Gérer les erreurs de manière sécurisée
· Limiter les privilèges (CGI, backoffice, etc.)
· Faire reposer la sécurité sur des principes, frameworks et algorithmes éprouvés
· Garder les mécanismes de sécurité simples
· Détecter les intrusions (journaux d'événements intelligents, détecter les comportements «anormaux »)
· Connaitre les limites de sécurité de l'infrastructure et des services, savoir effectuer une analyse objective du niveau de sécurité de ces éléments
Paramètres à prendre en compte lors d'une auto-évaluation
· Savoir analyser son propre niveau de sécurité en partant du principe que les attaquants possèdent le code source
· Gérer les entrées et actions utilisateur pour éviter les malveillances
· Séparation des tâches dans l'application afin d'éviter les incohérences
· Comment évaluer et « calibrer » le niveau de sécurité cible dans ces conditions ?
Les grandes familles de vulnérabilités récurrentes :
· XSS (Cross Site Scripting)
Qu'est ce qu'un XSS ? Dans quel contexte se produit-il et quels sont les impacts potentiels ?
Les différents types de XSS : XSS éphémères, XSS stockés, XSS dans les logs, XSS dans le backoffice
Les vecteurs d'injections
Prévention des XSS
Travaux Pratiques :
Audit d'un mini site contenant plusieurs XSS puis correction des vulnérabilités.
· Injection SQL
Qu'est ce qu'une injection SQL ? Dans quel contexte se produit-elle ? Quels sont les impacts potentiels ?
Différents types d'injections SQL
Prévention des injections SQL
Travaux Pratiques :
Audit d'un mini site contenant plusieurs types d'injection SQL puis correction.
· CSRF (Cross Site Request Forgery)
Qu'est ce qu'un CSRF ?
Dans quel contexte se produit-il ?
Comment se produit-il et quels sont les impacts ?
Travaux Pratiques :
Audit d'un mini site vulnérable à une CSRF puis correction de la vulnérabilité.
· Gestion des fichiers
File Upload : Risques et Bonnes pratiques liés aux fonctionnalités d'upload de fichiers
File download : Risques et bonnes pratiques liés aux fonctionnalités de téléchargement de fichiers
Travaux Pratiques :
Audit d'un mini site présentant plusieurs vulnérabilités relatives à la gestion des fichiers puis écriture de correctif.
· Autres vulnérabilités moins courantes : Directory Traversal, URL redirection abuse, http
response splitting, etc.
Jour 2
Problématiques liées à l'authentification
· Sessions
Problèmes d'entropie
Session guessing
Session fixation
· Cookies
Présence d'informations confidentielles dans les cookies
Transmission des cookies en http
· Mots de passe
Génération des mots de passe
Stockage des mots de passe (chiffrement)
Vérification de robustesse des mots de passe
Gestion des questions de type « Mot de passe perdu »
Accepter des mots de passe en http
Problématique du blocage des comptes (Déni de service)
Faire reposer l'information sur des briques existantes : LDAP, domaine Windows, etc.
· Gestion des privilèges
Les bonnes pratiques pour assurer la sécurité du système de privilèges
Travaux Pratiques :
Audit d'un mini site comportant plusieurs vulnérabilités relatives à l'authentification puis écriture de correctifs
Risques liés au spam et à l'utilisation « automatisée » d'un site :
· Prévenir l'utilisation automatisée du site ou d'une de ses fonctionnalités lorsque nécessaire
· Acquérir les bonnes méthodes pour lutter contre l'utilisation automatisée : Captcha et autres tests de Turring
Travaux Pratiques :
Contournement d'un système de captcha.
Webservices
· Risques de sécurité liés aux WebServices
Problèmes de configuration serveur :
· Configuration PHP, ASP, etc.
· Configuration Apache, IIS, etc.
· Gérer Flash
Travaux Pratiques:
Analyse de configuration d'un serveur Web.
Présentation des outils de sécurité à utiliser dans le cadre d'un projet de développement :
· Outils de tests automatisés
· Outils d'analyse statique de code source
· Les méthodes de test manuel : test en ‘boite noire'
· Les méthodes d'audit manuel : apprendre à auditer du code
Présentation des frameworks permettant de renforcer efficacement la sécurité d'un développement
Cas pratique :
· Mettre en place rapidement et efficacement des correctifs génériques sur un développement existant
· Analyse de code vulnérable et mise en place de correctifs : Injections SQL, XSS, CSRF, Directory traversal, remote file include, etc
Les limites des fonctions de sécurité :
· Clauses order by
· Les XSS ‘browser dependant'
· Appliquer le concept de liste blanche
Travaux Pratiques :
· Audit d'une application souffrant des vulnérabilités étudiées et écriture de correctifs
Avez-vous besoin d'un coach de formation?
Il vous aidera à comparer différents cours et à trouver la solution la plus abordable.
E-Commerce Développeur Sécurité