Formation Sécurité des Développements Web PHP
- Référence : SECSPWD
- Durée : 3 jours (21 heures)
- Certification : Non
- Eligible CPF : Non
CONNAISSANCES PREALABLES
- Avoir suivi la formation DELH001
- Bases en développement
- Connaissances du langage PHP
PROFIL DES STAGIAIRES
- Administrateurs systèmes
- Développeurs
OBJECTIFS
- Comprendre les enjeux de la sécurité des applications web
- Acquérir les bonnes pratiques et les bons réflexes pour le développement d’applications web sécurisées sous PHP
- Savoir utiliser les outils pour développer de façon sécurisée
METHODES PEDAGOGIQUES
- La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions
- Remise d’une documentation pédagogique papier ou numérique pendant le stage
- Mise à disposition d’un poste de travail par participant
METHODES D'EVALUATION DES ACQUIS
- Auto-évaluation des acquis par le stagiaire via un questionnaire
- Attestation de fin de stage adressée avec la facture
FORMATEUR
Consultant-Formateur expert Sécurité défensive
CONTENU DU COURS
1 - JOUR 1
2 - Introduction à la sécurité informatique
- Le contexte de la sécurité
- Risques encourus et impacts
3 - Présentation de PHP
- Historique : du langage de script à aujourd’hui
- L’écosystème PHP
4 - Principales attaques
- Cross Site Scripting
- Injection SQL
- Injection de Template
- Inclusion de fichier
- Vulnérabilités logiques
- Race conditions
- Déni de service
- Exécution de code à distance
- Cross Site Request Forgery
- Session fixation
5 - JOUR 2
6 - Mises à jour
- Système
- Applications Web
7 - Les pièges de PHP
- Utilisation de la documentation
- Typage faible
- Génération de données aléatoires
- Attaques temporelles
- Sérialisation
8 - Bonnes pratiques
- Utilisation de composer
- PDO et les ORM
- Frameworks
- Captchas
- Sécurisation des flux
9 - JOUR 3
10 - Patterns de développement
- Gestion des informations confidentielles
- Validation des entrées utilisateur
- Gestion des redirections
- Gestion des erreurs et des exceptions
11 - Outils de développement et de déploiement
- Tests unitaires
- Intégration continue
- Système de déploiement
- Analyse statique de code