De par sa nature même, le service dynamique de pages Web ouvre de nombreuses portes sur le monde extérieur. Pour le développeur, il est primordial de prendre conscience des types d'attaques auxquelles son code sera potentiellement exposé et de savoir y faire face, double objectif de ce stage.
INTER
INTRA
SUR MESURE
Cours pratique en présentiel ou en classe à distance Disponible en anglais, à la demande
De par sa nature même, le service dynamique de pages Web ouvre de nombreuses portes sur le monde extérieur. Pour le développeur, il est primordial de prendre conscience des types d'attaques auxquelles son code sera potentiellement exposé et de savoir y faire face, double objectif de ce stage.
À l’issue de la formation, le participant sera en mesure de :
Prendre conscience des types d'attaques auxquelles son code peut être exposé
Intégrer la sécurité dans les développements dès la conception
Identifier les failles possibles au niveau des développements
Développer des applications plus sécurisées
Public concerné
Développeurs désirant développer des applications PHP plus sécurisées.
Prérequis
Bonnes connaissances des langages PHP et SQL. Connaissances de base de JavaScript.
Vérifiez que vous avez les prérequis nécessaires pour profiter pleinement de cette formation en faisantce test.
Méthodes et moyens pédagogiques
Travaux pratiques
Des postes sous Windows équipés des serveurs Apache2 avec PHP, MySql, Oracle, LDAP, FTP et mail seront mises à la disposition des participants.
Méthodes pédagogiques
Pédagogie active basée sur des exemples, des démonstrations, des partages d'expériences, des cas pratiques et une évaluation des acquis tout au long de la formation.
Modalités d'évaluation
Le formateur évalue la progression pédagogique du participant tout au long de la formation au moyen de QCM, mises en situation, travaux pratiques…
Le participant complète également un test de positionnement en amont et en aval pour valider les compétences acquises.
Programme de la formation
Introduction
Présentation des risques.
Destruction de données.
Détournement de site.
Publication de données confidentielles.
Abus de ressources.
Vol d'identité.
Plan Sécurité : Conception, Développement et Maintenance.
Les pages Web
XSS principe et méthodes de protection. Moteur de recherche.
CSRF : principe et contre-mesures. Virus en base de données.
Formulaires : la grande porte
Les failles. Validation et limitations de l'approche JavaScript. Chaînage, attaques HTTP et Ajax. Contre-mesures.
Validation des entrées. Tests et principe des listes. Expressions régulières, standards et filtres.
Upload. Failles et contre-mesures.
Cookies et sessions
Cookies. Principes et risques. Manipulation JavaScript. Tableaux de cookies.
Sessions. Mode Cookie vs. Header. Principe du vol de session.
Sécuriser PHP : les bons réglages
PHP.ini. Directives sensibles, sessions et erreurs.
Protéger les scripts. Protection physique. Exécution de scripts distants ou à la volée.
Bases de données
Failles potentielles. Administration. Stockage.
Injections SQL. Principe et contre-mesure. Procédures stockées et requêtes paramétrées. Limites.
Fichiers d'accès. Organisation et valeurs par défaut. Accès anonymes et protocoles.
Sécuriser l'emploi des extensions
Email. Spam via un formulaire de contact : injections et contre-mesures.
Accès réseau par PHP. Appels séquentiels et récursifs. Attaque furtive.
Considérations générales
BFA. Principe. Identification et contre-mesures.
Phishing. Principe et formation des utilisateurs.
DoS. Quotas et gestion des charges.
Mots de passe. Renforcement et stockage. .
Chiffrement et signature. Cryptage / décryptage : implémentation PHP et MySQL.
Ruses. Pot de Miel, Obfuscation et Turing inversé.
Frameworks et briques logicielles. Gestion de la sécurité dans les développements composites.
Audit de sécurité. Méthodologie de base, Cross-test et rapport d'audit.