Formation Sécurité des Développements Web Java
- Référence : SECSJWD
- Durée : 21 heures
- Certification : Non
- Eligible CPF : Non
CONNAISSANCES PREALABLES
- 1-Connaissance du langage JAVA
- 2-Connaissance du développement Web en JAVA EE
- 3- Avoir suivi la formation DELJ001 Concepts objets et programmation Java
- 4- Avoir suivi le cours DEAS004 JEE Développement Web
PROFIL DES STAGIAIRES
- Chefs de projet
- Développeurs
OBJECTIFS
- Comprendre les enjeux de la sécurité des applications web
- Appréhender les différentes attaques existantes
- Mettre en place les bonnes pratiques de sécurité
- Connaître les mécanismes de sécurité spécifiques à JAVA EE
METHODES PEDAGOGIQUES
- La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions
- Remise d’une documentation pédagogique papier ou numérique pendant le stage
- Mise à disposition d’un poste de travail par participant
METHODES D'EVALUATION DES ACQUIS
- Auto-évaluation des acquis par le stagiaire via un questionnaire
- Attestation de fin de stage adressée avec la facture
FORMATEUR
Consultant-Formateur expert Sécurité défensive
CONTENU DU COURS Sécurité défensive
- Jour 1
- Architecture d’un projet JAVA
- Structure d'une webapp JEE
- Configuration et fonctionnement de base
- Top 10 des vulnérabilités/menaces OWASP
- Le cross-site scripting (JavaScript)
- Principe du cross scripting
- Vol de session
- Fixement de session
- Comment s'en prémunir ?
- Jour 2
- Les Injections SQL
- Principe général
- Exécution d'une injection SQL, les différentes étapes
- Comment sécuriser les accès à la base de données ?
- Gestion des fichiers
- L'upload de fichiers
- Les fichiers temporaires
- L'accès direct à des fichiers déployés
- Contrôler le contenu des fichiers
- Jour 3
- Authentification et autorisation
- Bien gérer les mot de passe et les comptes utilisateurs
- Cryptographie et hashage
- Authentification sécurisée
- Gestion des droits au niveau des URL
- Gestion des droits au niveau des méthodes
- Illustration avec spring security
- Autres fonctions à risque
- Exécution de commande système
- Librairies tierces