Parler Haut, Interagir Librement

Sécurité des applications en PHP

Durée :

5 jours

Prix :

2 200,00 $CA/1 800,00 $CA

Session :

Montréal (Québec) - 2011-01-24 à 2011-01-28

Français - 2 200,00 $CA/1 800,00 $CA
Proche d'un métro.

Montréal (Québec) - 2011-02-21 à 2011-02-25

Anglais - 2 200,00 $CA/1 800,00 $CA
Proche d'un métro.

Sur demande

Demandez nos disponibilités.

Description :

Cette formation, animée par un expert en sécurité des applications et répartie sur cinq (5) journées, permettra à l’élève de se familiariser avec les principes et meilleures pratiques de sécurité relatifs au développement et à la vérification d’applications web en PHP. Cette formation est conçue de façon à fournir une vision d’ensemble de la sécurité des applications Web pour le programmeur. Cette formation couvre autant les principaux types de vulnérabilités, les tests d'intrusion, les aspects de sécurité en lien avec le design et le développement d’applications de même que l’intégration de la sécurité au sein du cycle de développement d’une organisation.

Cinq bonnes raisons de participer

Principaux pièges de sécurité
Initiez-vous aux bonnes pratiques pour prévenir l’introduction de vulnérabilités et sachez repérer les erreurs les plus fréquentes et les plus importantes.
Approche pragmatique
Formation théorique et pratique. Faites vos exercices, analyses et tests dans un environnement Web en ligne réel.
Économies de temps et d’argent
Évitez les pertes imputables aux vulnérabilités et aux correctifs postérieurs au développement.
Méthodologie et expertise reconnues
Notre formation suit tous les principes de la méthodologie Open Web Application Security Project (OWASP) ainsi que plusieurs additions pour PHP venant de l'expérience de plusieurs experts en sécurité et en PHP.
Offre exclusive au Québec
Assistez à une formation éprouvée, donnée au Québec par un expert, reconnu mondialement, en sécurité des applications PHP.

Public :

  • Développeur
  • Webmestre
  • Chargé de projets Web
  • Architecte technologique
  • Conseiller en sécurité

Préalable :

Connaissance de base du langage PHP

Methode:

Cours magistral avec démonstrations et laboratoires pratiques

Contenu :

Introduction

  • La sécurité des applications Web
  • Évolution des menaces et des risques
  • Sécurité applicative vs sécurité réseau
  • Les limitations des pare-feu et du chiffrement SSL

Organismes et Standards

  • Présentation de l'OWASP (Open Web Application Security Project)
    • Qu'est-ce que l'OWASP ?
    • Rôle et mission de l'organisme
    • Principaux outils et documents
  • SANS (SysAdmin Audit Network Security)
    • Rôle et mission de l'organisme
    • Principaux outils et documents
  • NIST (National Institute of Standards Technology)
    • Rôle et mission de l'organisme
    • Principaux outils et documents
  • CIS (Center for Internet Security)
    • Rôle et mission de l'organisme
    • Principaux outils et documents
  • PCI-DSS et la sécurité applicative
    • Présentation de la norme
    • Exigences à l’égard de la sécurité applicative
  • ISO 27000
    • Présentation des normes
      • ISO 27001
      • ISO 27002 - ISO-17799
      • IS0 27005

Les typologies de failles de sécurité

  • Faille de conception
  • Faille d'implémentation
  • Faille opérationnelle

La sécurité dans le Cycle de développement (SDLC)

  • Les différentes phases d'un SDLC
  • Intégration de la sécurité à l'intérieur du cycle de développement

Les risques, vulnérabilités et attaques

  • OWASP Top 10 (version 2010)
    • A1: Injection
      • (SQL, XML, LDAP, etc)
    • A2: Cross Site Scripting (XSS)
    • A3: Violation de Gestion d’authentification et de Session
    • A4: Références directes non sécurisées à un objet
    • A5: Falsification de requête intersite (CSRF)
    • A6: Mauvaise configuration sécurite
    • A7: Stockage cryptographique non sécurisé
    • A8: Manque de restriction d’accès à une URL
    • A9: Protection insuffisante de la couche transport
    • A10: Redirection et renvois non validés
  • Autres attaques importantes
    • Exécution de fichier malicieux
    • Fuite d’informations et traitement d’erreur incorrect
  • Les attaques spécifiques à PHP

Programmer pour la sécurité

  • Les principes de sécurité
    • Réduction de la surface d’attaque
    • Sécurité par défaut
    • Principe du «moindre privilège»
    • Principe de «défense en profondeur»
    • Échouer de façon sécuritaire (Fail Securely)
    • Aucune confiance implicite
    • Séparation des rôles
    • Éviter la « sécurité par l’obscurité »
    • Garder la sécurité simple
    • Corriger les lacunes de sécurité correctement
  • Pare-feu applicatif (WAF)
    • Principes et fonctionnement généraux
    • Le positionnement du WAF dans une stratégie globale
    • Outils commerciaux et logiciels libres
  • La sécurité en PHP
    • Installation et Configuration de PHP
    • Gestion des erreurs
    • Validations des données
    • Protection des sorties
    • Autres protections
  • Utilisation des cadres d'applications
    • Solutions simples pour la sécurité
    • Lithium
    • Solar
    • Symfony
    • Zend Framework

Sécurité des données

  • Les bases de données
  • Cryptographie
    • Introduction à la cryptographie
      • Chiffrement symétrique
      • Chiffrement asymétrique
    • Cryptage et décryptage
    • Fonctions de chiffrement
    • Gestion des clés
    • Fonction de hachage
    • Signature digitale
    • Authentification
  • Le contrôle d'accès: authentification et autorisation
    • Authentification
      • Introduction à l'authentification
      • Facteurs d'identifications
    • Autorisation
      • Introduction à l'autorisation
      • Rôles
        • Séparation des rôles
        • Principe du « moindre privilège »

Vérifier le logiciel: la revue de code et les tests d'intrusion

  • L'importance des évaluations de sécurité
  • Positionnement dans le SDLC
  • Méthodologie de test
  • Approche manuelle vs approche automatisée
  • Présentation des outils disponibles