"The dirty secret is... it's not that hard to get around this stuff."
Formation au Développement sécurisé en PHP
Description - Public visé - Durée - Compétences requises - Plan - Travaux pratiques
PDF Format PDF
Description

De développement en développement, vos applications web souffrent toujours des mêmes failles. Cette formation intensive vous permettra de reconnaître les sources d'erreurs qui introduisent des vulnérabilités dans vos codes sources.

Pour chaque aspect des applications web, les problèmes de sécurité sont présentés à travers des exemples de codes vulnérables. Les exploitations de ces failles viennent illustrer ces problèmes. Cette formation est constamment mise à jour grâce aux informations que récoltent nos experts sur le terrain. Au cours de la dernière journée le stagiaire validera les connaissances acquises lors d'un audit de code.

Public visé

Développeurs

Durée

5 jours

Compétences requises

Connaissances de PHP et SQL.

Plan
  1. Introduction
    • Importance et sous estimation de la sécurité
    • Les difficultés d'intégration de la sécurité
    • Le cycle de développement sécurisé
    • Pourquoi la participation des développeurs est indispensable ?
  2. Rappels des fondamentaux
    • Protocole HTTP
    • SSL
    • Technologies Web
  3. Authentification
    • Conception
    • Implémentation
    • Stockage
  4. Droits d'accès
    • Gestion des rôles
  5. Session de l'utilisateur
    • Identification du client authentifié
  6. Validation des entrées
    • Protection du serveur
      • Injection SQL
      • Injection de code PHP
      • Injection de commande système
      • Inclusion arbitraires de fichiers
      • Injection SMTP
      • Injection XPATH
    • Protection des clients
      • CSRF
      • XSS
      • Clickjacking
      • Attaque de redirection et Phishing
      • Injection d'entête HTTP
    • Implémentation de la validation des données
  7. Code client et WEB 2.0
    • Échecs des contrôles
    • Fuites d'informations
    • Augmentation de la surface d'attaque
    • Confiance et délégation de l'application
  8. Logique de l'application
    • Défense contre la manipulation de la logique métier
  9. Fuites d'informations
    • Gestion des erreurs
    • Prises d'empreintes
  10. Les pièges spécifiques à PHP
  11. Techniques d'audit de code
    • Approches de la revue de code
    • Signatures des vulnérabilités communes
    • Outils
  12. Validation des acquis à travers un audit de code d'une application vulnérable
Travaux pratiques
  • Analyser le protocole HTTP
  • Empêcher la fuite d'information et la prise d'empreinte
  • Protéger l'authentification et le stockage des utilisateurs
  • Implémenter un système de contrôle d'accès
  • Identifier et corriger les faiblesses de la gestion de session
  • Valider les données
  • Protéger le client authentifié
  • Prévenir l'ingénierie inverse d'un code client
  • Empêcher le déni de service par manipulation de la logique métier
  • Implémenter un mécanisme de gestion des erreurs
  • Audits de codes sur une application web vulnérable

Soumettez votre site internet à une évaluation !

DotSafe vous propose de vous inscrire à un test de l'évaluation de la sécurité de votre site internet.

Découvrez notre offre

Contactez-nous

Vous souhaitez avoir plus d'informations sur les services offerts par DotSafe ?

Mentions légales | Contactez-nous