Accueil / Sécurité applicative avec PHP

Sécurité applicative avec PHP

Durée : 3 jours
Tarif Inter : 1700 €
Tarif sur mesure : Nous consulter
Référence : 4CSP

  • Partagez sur
  • Téléchargez en
  • Inscrivez vous
Programme Public & Pré-requis Organisation

Présentation

Cette formation aborde les vulnérabilités du Web, à travers des exemples basés sur PHP, allant au-delà du top dix de l’OWASP, en abordant diverses attaques par injection, des injections de script, des attaques contre la gestion des sessions de PHP, des références directes d’objets non sécurisées, des problèmes de téléchargement de fichiers, et bien d’autres.

Cette formation sur la sécurité applicative PHP vous permettra de maîtriser les techniques et les fonctions les plus importantes à utiliser pour atténuer les risques encourus.

Objectifs

  • Comprendre les concepts de base de la sécurité, de la sécurité informatique et du développement sécurisé
  • Apprendre les vulnérabilités du Web au-delà du Top 10 de l’OWASP et savoir comment les éviter
  • Apprendre à utiliser les différentes fonctions de sécurité de PHP
  • Obtenir des informations sur certaines vulnérabilités récentes des frameworks PHP (celui que chacun utilise)
  • Découvrir les erreurs de code typiques et comment les éviter
  • Acquérir des connaissances pratiques sur l’utilisation des outils de test de sécurité
  • Obtenir des sources et des lectures complémentaires sur les pratiques de développement sûres

Programme

  1. Sécurité informatique et développement sécurisé

    • Nature de la sécurité
    • Termes liés à la sécurité informatique
    • Définition du risque
    • Les différents aspects de la sécurité informatique
    • Exigences des différents domaines d’application
    • Sécurité informatique vs. Développement sécurisé
    • Des vulnérabilités aux botnets et à la cybercriminalité
    • Classification des failles de sécurité
  2. Vulnérabilités des applications web

    • OWASP Top 10 – 2017
      • A1 – Injection
      • A2 – Authentification cassé et gestion de session
      • A3 – Scripting cross-site (XSS)
      • A4 – Contrôle d’accès cassé
      • A5 – Mauvaise configuration de la sécurité
      • A6 – Exposition aux données sensibles
      • A7 – Protection insuffisante contre les attaques
      • A8 – Falsification des demandes intersites (CSRF)
      • A9 – Utilisation de composants présentant des vulnérabilités connues
      • A10 – API sous-protégées
  3. Les bases de la cryptographie

    • Crypto-systèmes
    • Cryptographie à clé symétrique
    • Autres algorithmes cryptographiques
    • Cryptographie asymétrique (à clé publique)
    • Infrastructure à clés publiques (PKI)
  4. Sécurité côté client

    • Sécurité JavaScript
    • Sécurité Ajax
    • Sécurité HTML5
  5. Services de sécurité PHP

    • Modules de cryptographie en PHP
    • APIs de validation des entrées
  6. Environnement PHP

    • Configuration du serveur
    • Sécuriser la configuration PHP
    • Sécurité de l’environnement
    • Durcissement
    • Gestion de la configuration
  7. Conseils et principes

    • Les principes de Matt Bishop pour une programmation robuste
    • Les principes de sécurité de Saltzer et Schroeder
  8. Validation des entrées

    • Concepts de validation des entrées
    • Des sources d’informations sur le sujet
    • Des sources d’informations sur le développement sûr
    • Exécution de code PHP à distance
    • Erreurs de validation MySQL – au-delà de l’injection SQL
    • Erreurs de portée des variables en PHP
    • Les spammeurs et les upload de fichiers
    • Manipulation de l’environnement
  9. Mauvaise utilisation des dispositifs de sécurité

    • Problèmes liés à l’utilisation des dispositifs de sécurité
    • Aléatoire non sécurisé
    • Faiblesses des générateurs de nombres pseudo-aléatoires (PRNG) en PHP
    • Des PRNGs plus sécurisés que nous pouvons utiliser en PHP
    • Gestion et stockage des mots de passe
    • Quelques problèmes habituels de gestion des mots de passe
    • Stockage des identifiants pour les systèmes externes
    • Violation de la vie privée
    • Traitement incorrect des erreurs et des exceptions
  10. Problèmes de temps et d’état

    • Concurrence et threading
    • Concurrence en PHP
    • Prévenir les situations de compétition de fichiers
    • Problème de double soumission/envoi
    • Gestion des sessions PHP
    • Un défaut de conception de PHP – situation de compétition open_basedir
    • Les situations de compétitions des bases de données
    • Possibilités de déni de service (DoS)
    • Attaque par collision de tables de hachage
  11. Utilisation des outils de test de sécurité

    • Scanners de vulnérabilité web
    • Outils d’injection SQL
    • Base de données publique
    • Piratage de Google
    • Serveurs proxy et sniffers
    • Capture du trafic réseau
    • Analyse du code statique
Formations à distance
En inter et en intra entreprise

Contactez-nous :
training@softeam.fr
+33 (0)6 07 78 24 18
Prochaines dates

Demande de renseignement