|
|
 | | |  | Secure coding in .NET - SANS DEV544 |  |
 |
 |
Dates of the coming sessions:
 No session in the coming months
Dates subject to modification without prior notice.
The sessions will only take place if the number of registered attendants is high enough.
|
|
|
|
 
 |
Goals
Certification
Cette formation prépare à la certification GIAC Secure Software Programme .Net (GSSP-NET).
Le passage de l'examen pour la certification peut être acheté soit lors de l'inscription à la formation soit directement auprès de SANS. L'examen se passe dans un centre agréé SANS.
Duration
4 days (9h00-18h30)
Instructor(s)
This training is given by:
- Guillaume Thiaux.
- Thibaut Leveslin.
Pre-requisite for attendants
Teaching method
Related courses
Material
Le support de cours est intégralement en anglais.
Agenda
Le plan est issu de la formation DEV 544 du SANS Institute et suit donc le programme décrit à l'adresse : http://www.sans.org/security-training/secure-coding-net-developing-defensible-applications-4981-tid
Jour 1
- Attaques propres aux applications web
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Injections SQL
- HTTP Response Splitting
- Modifications malveillantes des paramètres HTTP
- Proxy web
- Utilisation pratique de Fiddler
- Validation des paramètres
- Encodage des caractères
- Validation des entrées utilisateur
- Encodage en sortie
- Listes blanches et listes noires
- Techniques de validation
- Contrôles de validation
- Validation coté serveur contre validation coté client
- Expressions régulières
- HTML Encoding
- CAPTCHA
- ADO.NET
- Procédures stockées
- LINQ
Jour 2
- Authentification
- Architecture d'authentification modulaire avec IIS et ASP.NET
- Authentifications Basic & Digest
- Framework d'authentification en .NET
- L'authentification sous Windows
- Autorisation, sécurité du système d'exploitation et impersonation
- Certificats clients SSL
- Politique d'authentification
- Protection des sessions
- Génération d'identifiants de session sécurisés
- Données de session et persistance
- Politique de gestion des sessions, expiration, etc.
- Vol de session
- Fixation de session
- Attaques sur les mécanismes d'authentification
- Attaques par force brute
- Stockage faible des mots de passe
- Mise à zéro des mots de passe
- Questions secrètes
Jour 3
- Architecture
- Défense en profondeur
- Principe du moindre privilège
- Sécurité des Threads
- Structured Exception Handling (SEH)
- Audit et gestion des journaux applicatifs
- Principes du dévelopement sécurisé
- ASP.NET Handlers, Modules et HTTP Pipeline
- Services de chiffrement .NET
- Rappel sur les mécanismes de chiffrement
- Sécurisation des communications
- Protection des données stockées
Jour 4
- Sécurisation de l'interprétation dynamique de code
- Éléments de compilation, les assemblies
- Le Global Assembly Cache
- Assemblies faiblement-nommées et assemblies fortement-nommés
- Le Common Language Runtime
- Modèle d'éxecution
- Les zones de securité
- Preuve
- Code Groups
- Permissions
- Hacking de la sécurité de .NET
- Politique de sécurité et hiérarchie
- Définition des droits
- Demande de droits aux assemblies
- Durcissement des droits et stack walks
Methods of inscription
For registering an HSC course, please contact our training department by phone : +33 141 409 704
or by email at formations@hsc.fr, with first and last name of every student, your postal address and your company VAT number.
Thoses informations enable us to send your the training agreement.
The training agreement must be return agreed with signature and company
stamp with you purchase order, at least 15 days before the course. This
strict delay is imposed by SANS.
The
purchase order should precise your billing address and our payment
regulations : net 30 days from our invoice date.
Registration is completed as soon as we received those two documents.
|
