Développement sécurisé en Java/JEE : Conception d'application robuste - SANS DEV541

	Voir aussi...  Organisation des formations  Planning des formations inter-entreprises  Tests d'intrusion  Durcissement des applications web - SANS DEV522  Network Penetration Testing and Ethical Hacking - SANS SEC560  Tests d'Intrusion avancés, exploits, hacking éthique - SANS SEC660  Thème actualité  Thème avis de sécurité  Newsletter HSC  Comment nous demander une prestation
Objectifs  Certification  Durée  Formateur(s)  Public visé et prérequis  Méthode pédagogique  Cours associés  Support  Plan  Modalités d'inscription

Dates des prochaines sessions : Pas de session au cours des prochains mois Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.

 

La différence entre bons et excellents programmeurs

Les excellents programmeurs se sont traditionellement distingués par l'élégance, l'efficacité et la robustesse de leur code. Ceci est toujours vrai, mais l'élégance, l'efficacité et la robustesse du code ont été rejointes par la sécurité. La plupart des institutions financières et des agences gouvernementales ont informé leurs équipes et leurs prestataires que les programmeurs doivent démontrer leur maitrise de pratiques et de connaissances de développement sécurisé en les confrontants à des tests effectués par des tiers, ou à perdre leur autorisation de travailler pour ces organisations. De plus en plus d'acheteurs professionnels du monde du logiciel rejoignent cette tendance.

Ces demandes, tant des acheteurs que des supérieurs hiérarchiques, génèrent une réponse des développeurs : "Où puis-je apprendre ce que signifie programmation sécurisée ?". Cette formation SANS vous permettra d'acquérir une solide connaissance tant théorique que pratique pour éviter le piratage de vos applications.

Que couvre ce cours ?

Il s'agit d'un cours complet couvrant un large ensemble de techniques et d'information. Il ne s'agit pas d'un cours théorique au niveau, il s'agit de cas réels de programmation. Du code réel sera examiné, de réels outils seront utilisés et des applications seront réellement développées, et vous ferez ainsi l'expérience pratique des choses apprises durant la journée pour améliorer la sécurité des applications Java.

Plutôt que d'apprendre aux personnes suivant le cours comment utiliser un ensemble d'outils, des techniques de programmation sécurisée seront présentées. Ceci inclut par exemple : analyser quelques lignes de code réel, identifier une faille de sécurité, implémenter des corrections pour des failles découvertes dans Top 10 et le CWE/SANS Top 25 Most Dangerous Programming Errors.

Le cours se termine par un challenge de développement sécurisé où vous pourrez effectuer une revue de sécurité du code source d'une réelle application libre. Vous effectuerez une revue de code, effectuerez des tests pour exploiter de réelles vulnérabilités et enfin, vous utiliserez les techniques vues durant le cours pour implémenter les corrections de ces vulnérabilités.

Cette formation prépare à la certification GIAC Secure Software Program Java (GSSP-Java).
Le passage de l'examen pour la certification peut être acheté soit lors de l'inscription à la formation soit directement auprès de SANS. L'examen se passe dans un centre agréé SANS.

4 jours (9h00-18h30)

La formation est dispensée par :

• Rémi Chauchat (Remi.Chauchat@hsc.fr)
• certifié GIAC Penetration Tester (GPEN) depuis 2011 et GIAC Web Application Penetration Tester (GWAPT) depuis 2012

Cette formation s'adresse idéalement aux :

• Développeurs qui souhaite réaliser des applications sécurisées,
• Développeurs Java EE,
• Génies logiciel,
• Architectes logiciel,

• Auditeurs en sécurité applicative,
• Managers de projets techniques
• Analystes 'assurance et qualité logicielle' seniors,
• Auditeurs en sécurité souhaitant approfondir leurs connaissances sur des applications précises ou obtenir des informations détaillées sur les solutions de protection applicative

Pré-requis: Les participants doivent avoir au moins une année d'expérience en plateformes JEE et avoir des connaissances approfondies en programmation Java et en technologies web.

Les supports proviennent directement du SANS et sont donc en anglais, le cours est toutefois donné en français.

Chaque module est illustré de démonstrations permettant de visualiser la problématique abordée. La mise à disposition par HSC d'un ordinateur portable équipé des différentes machines virtuelles et outils nécessaires à la reproduction de ces démonstrations et à la réalisation des différents exercices permet immédiatement de mettre en pratique les attaques et réalisations vues dans le module.

Chaque stagiaire reçoit les supports papiers (en Anglais) de formation.

Les autres cours techniques HSC permettent d'approfondir les risques et les actions de sécurisation à mener sur les technologies abordées dans le cours.

On pourra citer entre autre :

• Network Penetration Testing and Ethical Hacking - SANS SEC560
• Tests d'Intrusion avancés, exploits, hacking éthique - SANS SEC660
• Durcissement des applications web - SANS DEV522

Le support de cours est intégralement en anglais.

Le plan est issu de la formation DEV 541 du SANS et suit donc le programme décrit à l'adresse :
http://www.sans.org/security-training/secure-coding-java-jee-developing-defensible-applications-912-mid

Le plan des formations est susceptible d'être modifié sans préavis pour être en accord avec les dernières modifications de leur contenu réalisées par SANS.

Vulnérabilités des applications web

• Cross-Site Scripting (XSS)
• Cross-Site Request Forgery (CSRF)
• Injection SQL
• Injection d'en-tête HTTP
• Manipulation des paramètres

Validation des données

• Validation des données en entrée
• Liste blanche contre liste noire
• Encodage et échappement des données en sortie
• Requête paramétrées
• Utilisations des framework et des APIs

Authentification

• Comment utiliser le chiffrement et les certificats
• Protection des identifiants de session
• Authentification avec JEE
• Authentification basique et via un formulaire
• Authentification du client par certificat

Gestion des sessions

• Vol de session
• Fixation de session

Contrôle d'accès

• Les authorisations en JEE
• Contrôle d'accès déclaratif et logiciel (Declarative and programmatic access control)
• Utilisation des annotations
• Le framework Spring Security

Chiffrement

• JSSE
• JCA
• Les certificats client
• SSL

Langage et programmation Java

• Programmation parallèle concurrente
• Gestion des journaux et des erreurs
• La classe Security

Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 15 jours ouvrés avant la formation. Ce délai strict de 15 jours est imposé par SANS. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.