 | | |  | Développement sécurisé en .NET - SANS DEV544 |  |
 |
 |
Dates des prochaines sessions :
 Pas de session au cours des prochains mois
Dates soumises à modification sans préavis.
Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.
|
|
|
|
 
 |
Basé sur le retour d'expérience de toute une communauté internationale d'experts en développement, le cours Développement sécurisé en .NET : Développement d'applications durcies SANS présente, de façon détaillée, les points importants à connaître pour mener à bien des développement sécurisés en utilisant le framework .NET.
Objectifs
Illustré par de nombreuses démonstrations, reproductibles immédiatement par les stagiaires, le cours Développement sécurisé en .NET : Développement d'applications durcies est interactif et permet de découvrir les attaques sur les applications et les mesures pour s'en protéger pour pouvoir entreprendre le développement de logiciels avec le framework .NET.
À l'issue de cette formation, les stagiaires seront à même de concevoir des applications avec le framework .NET tout en ayant pris en considération tous les aspects de durcissement nécessaires à la mise en place des bonnes pratiques de sécurité actuelles. Cette formation est le cours Developer 544 du SANS Institute.
Certification
Cette formation prépare à la certification GIAC Secure Software Programme .Net (GSSP-NET).
Le passage de l'examen pour la certification peut être acheté soit lors de l'inscription à la formation soit directement auprès de SANS. L'examen se passe dans un centre agréé SANS.
Durée
4 jours (9h00-18h30)
Formateur(s)
La formation est dispensée par :
- Guillaume Thiaux.
- Thibaut Leveslin.
Public visé et prérequis
Public visé : Ce cours est axé sur le développement logiciel mais reste accessible pour toutes personnes ayant une première expérience en développement et souhaitant acquérir une meilleure compréhension du point de vue des développeurs :
- Développeurs et architectes
- Analystes 'assurance et qualité logicielle' seniors
- Administrateurs systèmes et sécurité
- Experts en sécurité avec une expérience en tests d'intrusion
Pré-requis: De l'expérience en programmation ASP.NET avec Visual Basic ou C#. Tous les exercices seront effectués en C#.
Ce cours comporte un tour d'horizon rapide des attaques web basiques. Toutefois une connaissance de ces dernières (XSS, injections SQL, etc.) est recommandée.
Méthode pédagogique
Cours magistral en français avec manipulations et exercices pratiques.
Cours associés
Support
Le support de cours est intégralement en anglais.
Plan
Le plan est issu de la formation DEV 544 du SANS Institute et suit donc le programme décrit à l'adresse : http://www.sans.org/security-training/secure-coding-net-developing-defensible-applications-4981-tid
Le plan des formations est susceptible d'être modifié sans préavis pour
être en accord avec les dernières modifications de leur contenu
réalisées par SANS.
Jour 1
- Attaques propres aux applications web
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Injections SQL
- HTTP Response Splitting
- Modifications malveillantes des paramètres HTTP
- Proxy web
- Utilisation pratique de Fiddler
- Validation des paramètres
- Encodage des caractères
- Validation des entrées utilisateur
- Encodage en sortie
- Listes blanches et listes noires
- Techniques de validation
- Contrôles de validation
- Validation coté serveur contre validation coté client
- Expressions régulières
- HTML Encoding
- CAPTCHA
- ADO.NET
- Procédures stockées
- LINQ
Jour 2
- Authentification
- Architecture d'authentification modulaire avec IIS et ASP.NET
- Authentifications Basic & Digest
- Framework d'authentification en .NET
- L'authentification sous Windows
- Autorisation, sécurité du système d'exploitation et impersonation
- Certificats clients SSL
- Politique d'authentification
- Protection des sessions
- Génération d'identifiants de session sécurisés
- Données de session et persistance
- Politique de gestion des sessions, expiration, etc.
- Vol de session
- Fixation de session
- Attaques sur les mécanismes d'authentification
- Attaques par force brute
- Stockage faible des mots de passe
- Mise à zéro des mots de passe
- Questions secrètes
Jour 3
- Architecture
- Défense en profondeur
- Principe du moindre privilège
- Sécurité des Threads
- Structured Exception Handling (SEH)
- Audit et gestion des journaux applicatifs
- Principes du dévelopement sécurisé
- ASP.NET Handlers, Modules et HTTP Pipeline
- Services de chiffrement .NET
- Rappel sur les mécanismes de chiffrement
- Sécurisation des communications
- Protection des données stockées
Jour 4
- Sécurisation de l'interprétation dynamique de code
- Éléments de compilation, les assemblies
- Le Global Assembly Cache
- Assemblies faiblement-nommées et assemblies fortement-nommés
- Le Common Language Runtime
- Modèle d'éxecution
- Les zones de securité
- Preuve
- Code Groups
- Permissions
- Hacking de la sécurité de .NET
- Politique de sécurité et hiérarchie
- Définition des droits
- Demande de droits aux assemblies
- Durcissement des droits et stack walks
Modalités d'inscription
Pour toute inscription aux formations HSC, contactez notre
service formation par téléphone au (33)1 41 40 97 04 ou par
courriel à formations@hsc.fr, en nous transmettant les noms et
prénoms des stagiaires, votre adresse postale et le numéro de TVA
intra-communautaire de votre société.
Ces renseignements permettent d'établir
la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée
d'un bon de commande de votre organisme, au plus tard 15 jours ouvrés avant
la formation. Ce délai strict de 15 jours est imposé par SANS.
Le bon de commande doit indiquer votre adresse de facturation
et nos conditions de règlement : 30 jours nets date d'émission de facture,
envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.
|
