Sécurité des Développements Web Java

  • Référence : SECSJWD
  • Durée : 3 jours (21 heures)
  • Certification : Non
  • Eligible CPF : Non

CONNAISSANCES PREALABLES

  • 1-Connaissance du langage JAVA
  • 2-Connaissance du développement Web en JAVA EE
  • 3- Avoir suivi la formation DELJ001 Concepts objets et programmation Java
  • 4- Avoir suivi le cours DEAS004 JEE Développement Web

PROFIL DES STAGIAIRES

  • Chefs de projet
  • Développeurs

OBJECTIFS

  • Comprendre les enjeux de la sécurité des applications web
  • Appréhender les différentes attaques existantes
  • Mettre en place les bonnes pratiques de sécurité
  • Connaître les mécanismes de sécurité spécifiques à JAVA EE

METHODES PEDAGOGIQUES

  • La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions
  • Remise d’une documentation pédagogique papier ou numérique pendant le stage
  • Mise à disposition d’un poste de travail par participant

METHODES D'EVALUATION DES ACQUIS

  • Auto-évaluation des acquis par le stagiaire via un questionnaire
  • Attestation de fin de stage adressée avec la facture

FORMATEUR

Consultant-Formateur expert Sécurité défensive

CONTENU DU COURS

1 - Jour 1

    2 - Architecture d’un projet JAVA

    • Structure d’une webapp JEE
    • Configuration et fonctionnement de base
    • Top 10 des vulnérabilités/menaces OWASP

    3 - Le cross-site scripting (JavaScript)

    • Principe du cross scripting
    • Vol de session
    • Fixement de session
    • Comment s’en prémunir ?

    4 - Jour 2

      5 - Les Injections SQL

      • Principe général
      • Exécution d’une injection SQL, les différentes étapes
      • Comment sécuriser les accès à la base de données ?

      6 - Gestion des fichiers

      • L’upload de fichiers
      • Les fichiers temporaires
      • L’accès direct à des fichiers déployés
      • Contrôler le contenu des fichiers

      7 - Jour 3

        8 - Authentification et autorisation

        • Bien gérer les mot de passe et les comptes utilisateurs
        • Cryptographie et hashage
        • Authentification sécurisée
        • Gestion des droits au niveau des URL
        • Gestion des droits au niveau des méthodes
        • Illustration avec spring security

        9 - Autres fonctions à risque

        • Exécution de commande système
        • Librairies tierces

        10 - Le déploiement d’un projet JAVA

          cookie