Qualité et sécurité des applications : sécuriser une application

Objectif

Connaitre les différents types d’attaques (attaques par injection SQL, attaques XSS, attaques CSRF, attaques "brute force…) et les moyens à mettre en œuvre pour s’en prémunir

Durée : 3 jours (21 heures)

Dates :
-18/01/23
-05/04/23
-28/06/23
-06/09/23
-15/11/23

S'inscrire

Télécharger le pdf

Pré-requis Moyens pédagogiques Participants Financement & organisation

Pour suivre ce stage, il est nécessaire d’avoir une bonne connaissance de la programmation orientée objet et de la programmation d’applications Web

Moyens pédagogiques

Réflexion de groupe et apports théoriques du formateur
Travail d'échange avec les participants sous forme de réunion-discussion
Utilisation de cas concrets issus de l'expérience professionnelle
Validation des acquis par des questionnaires, des tests d'évaluation, des mises en situation et des jeux pédagogiques.
Alternance entre apports théoriques et exercices pratiques (en moyenne 30 à 50%)
Remise d'un support de cours.

Moyens techniques

Accueil des stagiaires dans une salle dédiée à la formation, équipée : ordinateurs, vidéo projecteur ou écran, un tableau blanc, paperboard.

Modalités d'évaluation

Feuille de présence signée en demi-journée,
Evaluation des acquis tout au long de la formation,
Questionnaire de satisfaction,
Attestation de stage à chaque apprenant,
Positionnement préalable oral ou écrit,
Evaluation formative tout au long de la formation,
Evaluation sommative faite par le formateur ou à l'aide des certifications disponibles

Modalités distance

A l’aide d’un logiciel (Teams, Zoom…), d’un micro et éventuellement d’une caméra les apprenants interagissent et communiquent entre eux et avec le formateur.
Sessions organisées en inter comme en intra entreprise.
L’accès à l’environnement d’apprentissage ainsi qu’aux preuves de suivi et d’assiduité (émargement, évaluation) est assuré.
Pour toute question avant et pendant le parcours, assistance technique à disposition au 04 67 13 45 45.

Profil formateur

Nos formateur sont des experts dans leurs domaines d'intervention
Leur expérience de terrain et leurs qualités pédagogiques constituent un gage de qualité.

Accessibilité

Les personnes en situation d'handicap sont invitées à nous contacter directement, afin d'étudier ensemble les possibilités de suivre la formation.
Pour tout renseignement, notre référent handicap reste à votre disposition : mteyssedou@ait.fr

Cette formation s’adresse aux développeurs souhaitant connaître les différentes techniques de sécurisation d’une application

Compte personnel de formation

La formation n'est pas compatible avec le Compte personnel de formation

Sessions inter-entreprises

La formation est compatible avec l’organisation en session inter-entreprises

Programme de la formation

Concepts de sécurité logicielle

Pourquoi sécuriser une application
Identifier et comprendre les vulnérabilités de vos applications attaques « brute-force »
Attaques par « déni de services » (DOS - Denial Of Service)
Attaques par analyse de trames IP
Attaques par « Injection SQL »
Attaques « XSS » (Cross site scripting)
Attaques « CSRF » (Cross site request forgery)
Autres types d’attaques
Outils de détection de faille de sécurité
Travaux pratiques : tests de ces différents types de problèmes sur une application mal développée et utilisation des outils de détection de faille de sécurité

Validation des données entrantes

Protection contre les entrées d'utilisateurs nuisibles
Utilisation d'expressions régulières
Détecter et contrer les « injections SQL »
Détecter et contrer les attaques « XSS »
Détecter et contrer les attaques « CSRF »
Détecter et contrer les attaques « bruteforce »
Sécuriser les données en Cookie
Protection contre les menaces de déni de service
Ne pas présenter à l’utilisateur les détails des erreurs techniques
Travaux pratiques : modification du code de l’application initialement proposée pour interdire ces différents types d’attaques

Sécuriser les données stockées en base

Authentification et Autorisation du SGBDr (Système de Gestion de Base de Données relationnelle)
Rôles serveur et rôles de base de données
Propriété et séparation utilisateur schéma
Chiffrement de données dans la base de données
Travaux pratiques : stocker de manière sécurisée les mots de passe en base de données

Sécuriser le système de fichier

Crypter les données sensibles dans les fichiers de configuration
Détecter les tentatives de remplacement des fichiers sources de l’application "signer les fichiers"
Protéger les informations des fichiers de log

Oauth 2.0 et l’authentification au niveau du navigateur

Présentation de l'architecture Oauth 2.0
Utilisation de l’API Oauth 2.0
Travaux pratiques : mise en œuvre de Oauth

Sécuriser les échanges de données

Modèle de chiffrement
Conception orientée flux
Configuration du chiffrement
Choix d'un algorithme
Mettre en œuvre le chiffrage symétrique
Mettre en œuvre le chiffrage asymétrique
Travaux pratiques : réaliser une communication sécurisée à l’aide d’un certificat

Cookie	Durée	Description
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par Google. En plus de certains cookies standards de Google, reCAPTCHA définit un cookie nécessaire (_GRECAPTCHA) lorsqu'il est exécuté dans le but de fournir son analyse des risques.
cookielawinfo-checkbox-advertisement	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Publicité ».
cookielawinfo-checkbox-analytics	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie «Analytiques».
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement du cookie GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie «Fonctionnel».
cookielawinfo-checkbox-necessary	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies de la catégorie «Nécessaire».
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie «Autres».
cookielawinfo-checkbox-performance	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie «Performance».
CookieLawInfoConsent	1 an	Enregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il fonctionne uniquement en coordination avec le cookie principal.

Cookie	Durée	Description
_ga	2 ans	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour calculer les données de visiteur, de session, de campagne et pour suivre l'utilisation du site pour le rapport d'analyse du site. Les cookies stockent des informations de manière anonyme et attribuent un numéro généré de manière aléatoire pour identifier les visiteurs uniques.
_ga_3KCBMEXTJ8	2 ans	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour calculer les données de visiteur, de session, de campagne et pour suivre l'utilisation du site pour le rapport d'analyse du site. Les cookies stockent des informations de manière anonyme et attribuent un numéro généré de manière aléatoire pour identifier les visiteurs uniques.

Qualité et sécurité des applications : sécuriser une application

Programme de la formation

Concepts de sécurité logicielle

Validation des données entrantes

Sécuriser les données stockées en base

Sécuriser le système de fichier

Oauth 2.0 et l’authentification au niveau du navigateur

Sécuriser les échanges de données

Formations similaires

PHP 7 et 8 - Les Nouveautés

Framework Symfony

Laravel