Sécurité des applications web pour les développeurs

présentation des menaces

• Présentation des différentes standardisations de la terminologie liée à la sécurité
• Typologie des menaces selon le WASC, le OWASP
• Failles applicatives : injection, protection d'URL, faille de référence, stockage non sécurisé
• Attaques côté client : Cross Site Scripting (XSS), gestion de session et authentification, attaque CSRF, Phishing…
• Failles de configuration : attaques des configurations standards
• Attaques de type DDOS
• Les dangers spécifiques du Web 2.0

technologies de sécurité

• Firewalls, panorama des outils, techniques de base réseaux
• Filtres des requêtes HTTP
• Empreinte de message, les algorithmes SHA-x et MD5
• Signature numérique, Clé publique/ clé privée, Coffre à clé et coffre de confiance, Autorités de certification
• Chiffrement de données, les algorithmes AES et RSA
• Protocoles SSL v2/v3 et TLS, PKI, certificats X509,
• Techniques d'authentification HTTP, authentification par certificat

Sécuriser les applications

• Protections basiques : Re-post des données, Time-out et déconnexion, Masquer les URL, Validation des données
• Usurpation d'identité : Cookies et certificats numériques, Session ID et jeton de transaction,
• Détournement
• Se protéger des attaques client : XSS ou Cross Site Scripting,
• Utilisation des références directes, CSRF ou Cross Site Request Forgery, Sécurité d'accès au SGBD, SQL
• Utilisation du JavaScript, Échappement des tags HTML
• Protections contre les attaques de force brute, liste de contrôle d'accès

contrôler la sécurité

• Test d'intrusion, audit de sécurité, scanners de vulnérabilités
• Organiser une veille technologique
• Déclaration des incidents de sécurité

gestion de la sécurité mobile

• Composants d’un système d’exploitation mobile
• Risques des appareils mobiles
• Les principales menaces sur les appareils mobiles
• Étudier les outils de piratage des appareils mobiles
• Méthode pour sécuriser l’environnements mobiles.