Formation - Sécurité des applications

1 - Sécurité dans le Framework et du code

• Concepts fondamentaux
• Sécurité d'accès du code et des ressources
• Sécurité basée sur les rôles
• Le principe du W^X
• Services de chiffrement
• Validation et contrôle des entrées / sorties
• Gestion et masquage d'erreurs
• Gestion sécurisée de la mémoire
• Contrôle d'authenticité et d'intégrité d'une application/d'un code
• Offuscation du code
• Reverse engineering sur : bundle C#, application Java, binaire Windows
• Contrôle des droits avant exécution du code
• Sécuriser les données sensibles présentes dans un binaire
• Stack/Buffer/Heap overflow

2 - Les bases de la cryptographie

• Cryptographie - Les définitions
• Types de chiffrement : chiffrement à clés partagées, chiffrement à clé publique
• Symétrique vs. asymétrique, combinaisons symétrique / asymétrique
• Fonctions de hachage
• Utilisation des sels
• Signatures numériques, processus de signature, processus de vérification

3 - Chiffrement, hash et signature des données

• Cryptographie Service Providers (CSP)
• System, security, cryptographie
• Choix des algorithmes de chiffrement
• Chiffrement symétrique : algorithme (DES, 3DES, RC2, AES), chiffrement de flux, mode de chiffrement (CBC, ECB, CFB)
• Algorithmes asymétriques
• Algorithme : RSA, DSA, GPG
• Algorithme de hachage : MD5, SHA1 / SHA2 / SH3

4 - Vue d'ensemble d'une infrastructure à clé publique (PKI)

• Certificat numérique : certificat X.509
• PKI - Les définitions
• Les fonctions PKI
• PKI - Les composants
• PKI - Le fonctionnement
• Applications de PKI : SSL, VPN, IPSec
• IPSec et SSL en entreprise
• Smart Cards (cartes intelligentes)
• Autorité de certification

5 - SSL et certificat de serveur

• Certificat de serveur SSL : présentation, autorité de certification d'entreprise, autorité de certification autonome

6 - Utilisation de SSL et des certificats clients

• Certificats clients
• Fonctionnement de SSL : phase I, II, III et IV
• Vérification de la couverture d'utilisation d'un certificat (lors du handshake)
• Vérification des dates d'utilisation d'un certificat

7 - Sécurité des services Web

• Objectifs de la sécurisation des services Web : authentification, autorisation, confidentialité et intégrité
• Limitations liées à SSL
• Sécurité des services Web : WSE 2.0, sécurisation des messages SOAP / REST

8 - Jetons de sécurité

• Jetons de sécurité : User-Name Token, Binary Token, XML Token, JWT (JSON Web Tokens), Session-based Token
• Intégrité d'un jeton (MAC / HMAC)
• Cycle de vie d'un jeton, expiration automatique (ou pas), contexte d'utilisation d'un jeton
• Habilitations suivant le contexte du jeton
• Certificats X.509
• Signature des messages SOAP / REST : création d'un jeton de sécurité, vérification des messages (MAC / HMAC), chiffrement des messages, déchiffrement du message

9 - Sécurité et développement Web

• Classification des attaques : STRIDE, OWASP
• Les erreurs classiques
• Authentification par jeton et gestion des habilitations
• Les handlers et méthodes HTTP
• Séparation des handlers par contexte de sécurité
• Attaque par injection
• Injection HTML
• Injection CSS
• Injection JS
• Injection SQL
• XSS (Injection croisée de code) : XSS réfléchi, XSS stocké
• XSS Cookie Stealer
• CSRF : Cross-Site Request Forgery

10 - Organiser la veille

• Top 10 de l'OWASP
• Le système CVE
• Le système CWE