Accueil > Sécurité Informatique > Sécurité Applicative Java
Formation #SEC122

Formation Sécurité Applicative Java

Durée : 4 jours

Code : SEC122


Prochaines dates programmées :

Du 28 au 31 Mai 2024

Du 06 au 09 Août 2024

Du 12 au 15 Nov. 2024

Fin d'Inscription :
Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email : Au minimum 15 JOURS OUVRÉS avant la date de formation.
Si vous avez un besoin URGENT et que vous souhaitez une date de formation plus proche que les sessions programmées (minimum 15 à 20 jours ouvrés à date de votre demande)

Objectifs

  • Connaître les mécanismes de sécurité du JDK
  • Connaitre et comprendre les principales failles de sécurité applicative
  • Apprendre à sécuriser les différents aspects techniques d’une application
  • Être capable de tester la sécurité des applications Java
Programme
1/ Concepts liés à la sécurité
  • L’importance de la sécurité
  • Les failles de sécurité classiques
  • Identification et méthodes d'authentification
  • Autorisations et permissions d’accès
  • Confidentialité : les mécanismes de cryptage
  • Pare-feu et DMZ, rupture de protocole
  • Les types d'attaques
  • Le modèle de sécurité de la JVM
2/ Sécurisation de la JVM
  • Le bac à sable
  • ClassLoader
  • SecurityManager
  • AccessController
  • Le fichier java.policy
  • Le fichier security.policy
  • L'outil PolicyTool
3/ Le chiffrement en Java
  • Les bases du chiffrement
  • Classe java.security.Security
  • Classe java.security.Provider
  • Les services d’un provider
  • Les algorithmes de Chiffrement
  • Les algorithmes symétriques type AES
  • L'algorithme asymétrique RSA
  • Les fonctions à sens unique type SHA
  • La génération de clés
  • La génération de certificats X.509
  • Les outils GnuGPG, GPG4Win, Keytool
4/ Java Authentication and Authorization Service
  • Architecture de JAAS
  • Authentification via le PAM, notion de Subject et de Principal
  • Gestion des permissions, les fichiers .policy
  • Utiliser JAAS avec Unix ou Windows, JNDI, Kerberos et Keystore. Le support du SSO
5/ SSL avec Java
  • HTTP basic et form
  • HTTPS et JSSE
  • Authentification via certificats X.509. TLS et SSL
  • Encryption à base de clés publiques, Java Cryptography Extension (JCE)
6/ La sécurité d'une application JEE
  • Sécurité Java EE
  • Authentification Web et EJB
  • Rôles applicatifs, permissions et descripteurs de déploiement XML
  • Contrôles dynamiques via les API Servlets et EJB
  • La sécurité dans les API : JDBC, JNDI, JTA, JMS, JCA
  • LoginModule
  • Rôles et domaines
  • Protection des URL
  • Protection des méthodes
  • Annotations de sécurité
  • Sécurité programmatique
  • Sécurité réseau et sécurité applicative
  • Pare-feu et DMZ
7/ Tester les failles d'une application
  • Anatomie d'une faille applicative
  • Open Web Application Security Project
  • Le Top 10 OWASP
  • CVE (Common Vulnerabilities and Exposures)
  • CWE (Common Weakness Enumeration)
  • CVSS (Common Vulnerability Scoring System)
  • Failles et remèdes
  • Injections SQL
  • Cross Site Scripting
  • Détournement de sessions
  • Référence directe par URL
  • Cross Site Request Forgery
  • La faille sur les API
  • IDOR
  • SSRF
8/ Mettre en place du secure code
  • Créer une checklist des bonnes pratiques pour son application
  • Ajouter un analyse des risques
  • Durcir son application avec OWASP ASVS
  • Utiliser les bons outils : DAST, SAST, WAF
Approche Pédagogique

Approche Pédagogique

  • Pédagogie très opérationnelle fondée sur l'alternance entre théorie et pratique
  • Cas pratiques
  • Remise d’outils
  • Echanges d’expériences
Public Cible

Personnes Visées

  • Développeurs
  • Chefs de projets amenés à sécuriser des applications Java et JEE
Dates

Dates

  • Du 28 au 31 Mai 2024
  • Du 06 au 09 Août 2024
  • Du 12 au 15 Nov. 2024
  • Fin d'Inscription :
    Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email : Au minimum 15 JOURS OUVRÉS avant la date de formation.