Formation Application Security en France

Cette formation en direct avec instructeur en France (en ligne ou sur site) s'adresse aux développeurs de niveau intermédiaire à avancé qui souhaitent comprendre et appliquer des pratiques de codage sécurisées, identifier les risques de sécurité dans les logiciels et mettre en œuvre des défenses contre les cyber-menaces.

A l'issue de cette formation, les participants seront capables de :

• Comprendre les vulnérabilités de sécurité courantes dans les applications web et logicielles.
• Analyser les menaces de sécurité et les techniques d'exploitation utilisées par les attaquants.
• Mettre en œuvre des pratiques de codage sécurisées pour atténuer les risques de sécurité.
• Utiliser des outils de test de sécurité pour identifier et corriger les vulnérabilités.

EC-Council Certified DevSecOps Engineer (ECDE) est un cours pratique conçu pour doter les professionnels des compétences nécessaires à l'intégration de la sécurité tout au long du DevOps cycle de vie, permettant ainsi le développement sécurisé du logiciel de la planification à la mise en production.

Ce cours interactif et en direct (en ligne ou sur site) s'adresse aux professionnels intermédiaires du logiciel et des DevOps qui souhaitent intégrer les pratiques de sécurité dans les pipelines CI/CD, garantissant une livraison sécurisée et conforme du code.

À la fin de ce cours, les participants seront capables de :

• Comprendre les principes et les pratiques de DevSecOps.
• Sécuriser chaque étape des pipelines CI/CD en utilisant des outils automatisés.
• Mettre en œuvre des pratiques de codage sécurisé et des scans de vulnérabilités.
• Se préparer à l'examen ECDE avec des laboratoires pratiques et une révision.

Format du cours permettant d'évaluer les participants

• Cours interactif et discussion.
• Utilisation pratique des outils DevSecOps dans des pipelines simulés.
• Exercices guidés axés sur le développement et la mise en production sécurisés.

Options de personnalisation du cours

• Pour demander une formation personnalisée pour ce cours basée sur les flux de travail ou la chaîne d'outils de votre équipe, veuillez nous contacter pour en faire la demande.

Android est une plateforme ouverte pour les appareils mobiles tels que les smartphones et tablettes. Elle propose une grande variété de fonctionnalités de sécurité pour faciliter le développement de logiciels sécurisés ; toutefois, elle manque également de certains aspects de sécurité présents dans d'autres plateformes mobiles. Le cours offre un aperçu complet de ces fonctionnalités et met en évidence les lacunes les plus critiques à connaître en rapport avec l'infrastructure sous-jacente Linux, le système de fichiers et l'environnement général, ainsi que concernant l'utilisation des permissions et d'autres composants de développement logiciel Android.

Les pièges habituels de la sécurité et les vulnérabilités sont décrits tant pour le code natif que pour les applications Java, accompagnés de recommandations et de bonnes pratiques pour les éviter ou les atténuer. Dans de nombreux cas, les problèmes discutés sont illustrés par des exemples concrets et des études de cas. Enfin, nous donnons un bref aperçu sur la façon d'utiliser des outils de test de sécurité pour révéler tout bug de programmation lié à la sécurité.

Les participants qui assistent à ce cours comprendront :

• Les concepts fondamentaux de la sécurité, de la sécurité informatique et du codage sécurisé
• Les solutions de sécurité sur Android
• Comment utiliser diverses fonctionnalités de sécurité de la plateforme Android
• Certains vulnérabilités récentes dans les applications Java sur Android
• Les erreurs de codage typiques et comment les éviter
• La vulnérabilité du code natif sur Android
• Les conséquences graves d'un traitement non sécurisé des tampons dans le code natif
• Les techniques de protection architecturale et leurs faiblesses
• Des sources et lectures complémentaires sur les bonnes pratiques du codage sécurisé

Public cible

Professionnels

Un certain nombre de langages de programmation sont aujourd'hui disponibles pour compiler le code dans les cadres .NET et ASP.NET. L'environnement fournit des moyens puissants pour le développement de la sécurité, mais les développeurs doivent savoir comment appliquer les techniques de programmation au niveau de l'architecture et du codage afin de mettre en œuvre la fonctionnalité de sécurité souhaitée et d'éviter les vulnérabilités ou de limiter leur exploitation.

L'objectif de ce cours est d'enseigner aux développeurs, par le biais de nombreux exercices pratiques, comment empêcher le code non fiable d'effectuer des actions privilégiées, protéger les ressources par une authentification et une autorisation fortes, fournir des appels de procédure à distance, gérer les sessions, introduire différentes implémentations pour certaines fonctionnalités, et bien d'autres choses encore. Une section spéciale est consacrée à la configuration et au renforcement de l'environnement .NET et ASP.NET pour la sécurité.

Une brève introduction aux fondements de la cryptographie fournit une base pratique commune pour comprendre l'objectif et le fonctionnement de divers algorithmes, sur la base desquels le cours présente les fonctions cryptographiques qui peuvent être utilisées dans .NET. Il est suivi par l'introduction de quelques vulnérabilités cryptographiques récentes liées à certains algorithmes cryptographiques et protocoles cryptographiques, ainsi qu'à des attaques par canal latéral.

L'introduction des différentes vulnérabilités commence par la présentation de certains problèmes de programmation typiques rencontrés lors de l'utilisation de .NET, notamment les catégories de bogues liées à la validation des entrées, à la gestion des erreurs ou aux conditions de course. Une attention particulière est accordée à la sécurité XML, tandis que le sujet des vulnérabilités spécifiques à ASP.NET aborde certains problèmes et méthodes d'attaque particuliers : comme l'attaque du ViewState, ou les attaques de terminaison de chaîne.

Les participants à ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendre à utiliser les différentes fonctions de sécurité de l'environnement de développement .NET
• Avoir une compréhension pratique de la cryptographie
• Comprendre certaines attaques récentes contre les systèmes cryptographiques
• Obtenir des informations sur certaines vulnérabilités récentes dans .NET et ASP.NET
• Apprendre les erreurs de codage typiques et comment les éviter
• Acquérir des connaissances pratiques sur l'utilisation des outils de test de sécurité
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé.

Public

Développeurs

La mise en œuvre d'une application sécurisée en réseau peut s'avérer difficile, même pour les développeurs qui ont déjà utilisé divers blocs de construction cryptographiques (tels que le cryptage et les signatures numériques). Afin de faire comprendre aux participants le rôle et l'utilisation de ces primitives cryptographiques, une base solide sur les principales exigences de la communication sécurisée - accusé de réception sécurisé, intégrité, confidentialité, identification à distance et anonymat - est d'abord donnée, tout en présentant les problèmes typiques qui peuvent nuire à ces exigences avec des solutions du monde réel.

La cryptographie étant un aspect essentiel de la sécurité des réseaux, les algorithmes cryptographiques les plus importants en matière de cryptographie symétrique, de hachage, de cryptographie asymétrique et d'accord de clé sont également abordés. Au lieu de présenter un contexte mathématique approfondi, ces éléments sont abordés du point de vue du développeur, en montrant des exemples de cas d'utilisation typiques et des considérations pratiques liées à l'utilisation de la cryptographie, telles que les infrastructures à clé publique. Les protocoles de sécurité dans de nombreux domaines de la communication sécurisée sont présentés, avec une discussion approfondie sur les familles de protocoles les plus largement utilisées telles que IPSEC et SSL/TLS.

Les vulnérabilités cryptographiques typiques sont examinées à la fois en rapport avec certains algorithmes cryptographiques et protocoles cryptographiques, tels que BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE et similaires, ainsi que l'attaque temporelle RSA. Dans chaque cas, les considérations pratiques et les conséquences potentielles sont décrites pour chaque problème, sans entrer dans les détails mathématiques.

Enfin, la technologie XML étant essentielle pour l'échange de données par les applications en réseau, les aspects de sécurité de la technologie XML sont décrits. Cela inclut l'utilisation du XML dans les services web et les messages SOAP avec des mesures de protection telles que la signature XML et le cryptage XML - ainsi que les faiblesses de ces mesures de protection et les problèmes de sécurité spécifiques au XML tels que l'injection XML, les attaques d'entités externes XML (XXE), les bombes XML et l'injection XPath.

Les participants à ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Comprendre les exigences d'une communication sécurisée
• Connaîtront les attaques et les défenses des réseaux aux différentes couches OSI
• auront une compréhension pratique de la cryptographie
• Comprendre les protocoles de sécurité essentiels
• Comprendre certaines attaques récentes contre les systèmes cryptographiques
• Obtenir des informations sur certaines vulnérabilités récentes
• Comprendre les concepts de sécurité des services Web
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé.

Public

Développeurs, professionnels

Ce cours fournit une expertise en codage sécurisé multiplateforme en combinant C/C++, Java et la sécurité des applications web dans une formation intégrée. Les participants apprennent les vulnérabilités modernes, les méthodes d'attaque et les pratiques de développement sécurisé dans des environnements hétérogènes.

Cette formation dirigée par un instructeur (en ligne ou sur site) est destinée aux développeurs de niveau intermédiaire à avancé qui souhaitent renforcer leurs pratiques de codage sécurisé pour les applications d'entreprise et web.

À la fin de cette formation, les participants seront en mesure de :

• Appliquer des principes de codage sécurisé dans les environnements de développement C/C++ et Java.
• Identifier et atténuer les vulnérabilités courantes telles que les débordements de tampon, les injections SQL et les attaques XSS.
• Mettre en œuvre et configurer efficacement les services et API de sécurité Java.
• Comprendre le Top Ten d'OWASP et plus encore, y compris les risques de sécurité côté client.
• Utiliser la cryptographie de manière sécurisée pour la protection des données et la communication.
• Analyser le code pour identifier les faiblesses architecturales et appliquer des stratégies de codage défensif.
• Se tenir informé des vulnérabilités récentes dans les plateformes, les frameworks et les bibliothèques.

Format du cours permettant d'évaluer les participants

• Conférence interactive et discussion.
• Ateliers pratiques de codage sécurisé et démonstrations d'exploits.
• Études de cas et analyse de vulnérabilités dans des situations réelles.

Options de personnalisation du cours

• Pour demander une formation personnalisée pour ce cours, veuillez nous contacter pour organiser.

L'adoption du cloud transforme la façon dont les applications sont construites, déployées et opérées — en redistribuant les responsabilités entre le fournisseur et le client tout en introduisant des plateformes natives cloud (conteneurs, serverless, services gérés) qui nécessitent des contrôles de sécurité adaptés. La sécurité doit donc aborder le renforcement de l'infrastructure, la gestion des identités et des accès, la protection des données, les pratiques de développement sécurisé ainsi que les vecteurs de menace spécifiques au cloud.

Cette formation dirigée par un instructeur (en ligne ou sur site) est destinée aux développeurs intermédiaires, ingénieurs en sécurité et managers IT qui souhaitent acquérir des compétences pratiques et concrètes pour sécuriser les applications cloud et leur infrastructure sous-jacente, tout en apprenant des contrôles répétables et des techniques d'évaluation qui correspondent aux cadres de l'industrie actuelle et aux conseils des fournisseurs de services cloud.

Au terme de cette formation, les participants seront capables de :

• Expliquer le modèle de responsabilité partagée dans le cloud et l'appliquer aux décisions de sécurité des applications.
• Réduire les risques pour l'infrastructure cloud (IaaS), sécuriser les services de plateforme (PaaS) et évaluer les configurations SaaS.
• Appliquer des pratiques de codage sécurisé et des motifs d'atténuation basés sur OWASP aux applications hébergées dans le cloud.
• Intégrer des outils de sécurité dans les pipelines CI/CD (SAST/DAST/IAST/RASP) et adopter des pratiques shift-left.

Format du cours permettant d'évaluer les participants

• Cours interactif avec démonstrations en direct.
• Exercices pratiques utilisant des consoles cloud, des conteneurs, des fonctions serverless et des pipelines CI/CD.
• Exercices pratiques : configuration sécurisée, analyse de vulnérabilités, simulation d'attaques et planification de remédiations.

Options de personnalisation du cours

• Pour demander une formation personnalisée pour ce cours, merci de nous contacter pour organiser.

Ce cours de trois jours couvre les bases de la sécurisation du code C/C++ contre les utilisateurs malveillants qui pourraient exploiter de nombreuses vulnérabilités dans le code, en particulier celles liées à la gestion de la mémoire et à la gestion des entrées. Le cours aborde les principes d'écriture d'un code sécurisé.

Même les programmeurs Java expérimentés ne maîtrisent pas tous les services de sécurité offerts par Java et ne sont pas non plus conscients des différentes vulnérabilités qui sont pertinentes pour les applications web écrites en Java.

Le cours - en plus d'introduire les composants de sécurité de l'édition standard Java - traite des questions de sécurité de l'édition d'entreprise Java (JEE) et des services web. La discussion de services spécifiques est précédée par les fondements de la cryptographie et de la communication sécurisée. Divers exercices traitent des techniques de sécurité déclaratives et programmatiques dans JEE, tandis que la sécurité de la couche transport et de bout en bout des services web est abordée. L'utilisation de tous les composants est présentée à travers plusieurs exercices pratiques, où les participants peuvent essayer eux-mêmes les API et les outils présentés.

Le cours passe également en revue et explique les failles de programmation les plus fréquentes et les plus graves du langage Java et de la plate-forme, ainsi que les vulnérabilités liées au web. Outre les bogues typiques commis par les programmeurs de Java, les vulnérabilités de sécurité présentées couvrent à la fois les problèmes spécifiques au langage et les problèmes liés à l'environnement d'exécution. Toutes les vulnérabilités et les attaques pertinentes sont démontrées à travers des exercices faciles à comprendre, suivis par les lignes directrices de codage recommandées et les techniques d'atténuation possibles.

Les participants à ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Connaîtront les vulnérabilités du Web au-delà du OWASP Top Ten et sauront comment les éviter
• Comprendre les concepts de sécurité des services Web
• Apprendre à utiliser les différentes fonctions de sécurité de l'environnement de développement Java.
• Avoir une compréhension pratique de la cryptographie
• Comprendre les solutions de sécurité de Java EE
• Connaître les erreurs de codage typiques et savoir comment les éviter
• Obtenir des informations sur certaines vulnérabilités récentes dans le cadre Java.
• Acquérir des connaissances pratiques sur l'utilisation des outils de test de sécurité
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé.

Public

Développeurs

Même les programmeurs expérimentés ne maîtrisent pas les différents services de sécurité offerts par leurs plateformes de développement, et ne sont pas non plus conscients des différentes vulnérabilités qui sont pertinentes pour leurs développements. Ce cours s'adresse aux développeurs utilisant à la fois Java et PHP, en leur fournissant les compétences essentielles nécessaires pour rendre leurs applications résistantes aux attaques contemporaines via Internet.

Les niveaux de l'architecture de sécurité Java sont parcourus en abordant le contrôle d'accès, l'authentification et l'autorisation, la communication sécurisée et diverses fonctions cryptographiques. Diverses API sont également présentées, qui peuvent être utilisées pour sécuriser votre code dans PHP, comme OpenSSL pour la cryptographie ou HTML Purifier pour la validation des entrées. Côté serveur, les meilleures pratiques sont données pour renforcer et configurer le système d'exploitation, le conteneur web, le système de fichiers, le SQL serveur et le PHP lui-même, tandis qu'un accent particulier est mis sur la sécurité côté client à travers les problèmes de sécurité de JavaScript, Ajax et HTML5.

Les vulnérabilités générales du web sont examinées à l'aide d'exemples alignés sur le Top Ten OWASP, montrant diverses attaques par injection, des injections de scripts, des attaques contre le traitement des sessions, des références d'objets directes non sécurisées, des problèmes avec les téléchargements de fichiers, et bien d'autres encore. Les divers problèmes de langage spécifiques aux Java et PHP et les questions découlant de l'environnement d'exécution sont présentés et regroupés dans les types de vulnérabilités standard : validation d'entrée manquante ou incorrecte, utilisation incorrecte des fonctions de sécurité, gestion incorrecte des erreurs et des exceptions, problèmes liés au temps et à l'état, problèmes de qualité du code et vulnérabilités liées au code mobile.

Les participants peuvent essayer par eux-mêmes les API, les outils et les effets des configurations discutés, tandis que l'introduction des vulnérabilités est soutenue par un certain nombre d'exercices pratiques démontrant les conséquences d'attaques réussies, montrant comment corriger les bogues et appliquer des techniques d'atténuation, et introduisant l'utilisation de diverses extensions et d'outils.

Les participants à ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendre les vulnérabilités du Web au-delà du OWASP Top Ten et savoir comment les éviter
• Apprendre les vulnérabilités côté client et les pratiques de codage sécurisé
• Apprendre à utiliser les différentes fonctions de sécurité de l'environnement de développement Java.
• Avoir une compréhension pratique de la cryptographie
• Apprendre à utiliser les différentes fonctions de sécurité de PHP.
• Comprendre les concepts de sécurité des services Web
• Acquérir des connaissances pratiques sur l'utilisation des outils de test de sécurité
• Apprendre les erreurs de codage typiques et comment les éviter
• Être informé des récentes vulnérabilités des frameworks et bibliothèques Java et PHP.
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé.

Public

Développeurs

Description

Le langage Java et l'environnement d'exécution Java (JRE) ont été conçus pour être exempts des vulnérabilités de sécurité courantes les plus problématiques rencontrées dans d'autres langages, comme C/C++. Cependant, les développeurs de logiciels et les architectes ne doivent pas seulement savoir utiliser les diverses fonctionnalités de sécurité de l'environnement Java (sécurité positive), mais doivent également être conscients des nombreuses vulnérabilités qui restent pertinentes pour le développement Java (sécurité négative).

L'introduction des services de sécurité est précédée d'un bref aperçu des fondements de la cryptographie, fournissant une base commune pour comprendre le but et le fonctionnement des composants applicables. L'utilisation de ces composants est présentée à travers plusieurs exercices pratiques, où les participants peuvent essayer les APIs discutées par eux-mêmes.

Le cours passe également en revue et explique les erreurs de programmation les plus fréquentes et graves du langage et de la plateforme Java, couvrant à la fois les bugs typiques commis par les programmeurs Java et les problèmes spécifiques au langage et à l'environnement. Toutes les vulnérabilités et les attaques pertinentes sont démontrées à travers des exercices faciles à comprendre, suivis des directives de codage recommandées et des techniques de mitigation possibles.

Les participants à ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et de la programmation sécurisée
• Apprendre les vulnérabilités Web au-delà des dix principales de l'OWASP et savoir comment les éviter
• Apprendre à utiliser diverses fonctionnalités de sécurité de l'environnement de développement Java
• Avoir une compréhension pratique de la cryptographie
• Apprendre les erreurs de codage typiques et comment les éviter
• Obtenir des informations sur certaines vulnérabilités récentes dans le framework Java
• Obtenir des sources et des lectures supplémentaires sur les pratiques de programmation sécurisée

Audience

Développeurs

Description

Au-delà d'une solide connaissance de l'utilisation des composants Java, même pour les programmeurs Java expérimentés, il est essentiel d'avoir une connaissance approfondie des vulnérabilités liées au web, tant du côté serveur que du côté client, des différentes vulnérabilités qui sont pertinentes pour les applications web écrites en Java, et des conséquences des différents risques.

Les vulnérabilités générales liées au web sont démontrées en présentant les attaques pertinentes, tandis que les techniques de codage et les méthodes d'atténuation recommandées sont expliquées dans le contexte de Java, l'objectif le plus important étant d'éviter les problèmes associés. En outre, un accent particulier est mis sur la sécurité côté client en abordant les problèmes de sécurité de JavaScript, Ajax et HTML5.

Le cours présente les composants de sécurité de l'édition standard Java, qui est précédé des fondements de la cryptographie, fournissant une base commune pour comprendre l'objectif et le fonctionnement des composants applicables. L'utilisation de tous les composants est présentée à travers des exercices pratiques, où les participants peuvent essayer les API et les outils discutés pour eux-mêmes.

Enfin, le cours explique les défauts de programmation les plus fréquents et les plus graves du langage et de la plate-forme Java. Outre les bogues typiques commis par les programmeurs Java, les vulnérabilités de sécurité présentées couvrent à la fois les problèmes spécifiques au langage et les problèmes liés à l'environnement d'exécution. Toutes les vulnérabilités et les attaques pertinentes sont démontrées à travers des exercices faciles à comprendre, suivis par les lignes directrices de codage recommandées et les techniques d'atténuation possibles.

Les participants à ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendre les vulnérabilités du Web au-delà du OWASP Top Ten et savoir comment les éviter
• Apprendre les vulnérabilités côté client et les pratiques de codage sécurisé
• Apprendre à utiliser les différentes fonctions de sécurité de l'environnement de développement Java.
• Avoir une compréhension pratique de la cryptographie
• Apprendre les erreurs de codage typiques et comment les éviter
• Obtenir des informations sur certaines vulnérabilités récentes dans le cadre Java.
• Acquérir des connaissances pratiques sur l'utilisation des outils de test de sécurité
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé.

Public

Développeurs

Les participants assistent à ce cours en France auront la capacité de :

• Comprendre les concepts de base de la sécurité, de la cybersécurité et du codage sécurisé
• Découvrir les vulnérabilités Web au-delà des OWASP Top Ten et savoir comment les éviter
• Apprendre les vulnérabilités côté client et les bonnes pratiques de codage sécurisé
• Apprendre à utiliser diverses fonctionnalités de sécurité de l'environnement de développement Java
• Avoir une compréhension pratique de la cryptographie
• Comprendre les concepts de sécurité des services Web
• Comprendre les solutions de sécurité de Java EE
• Découvrir les erreurs de codage typiques et savoir comment les éviter
• Obtenir des informations sur certaines vulnérabilités récentes dans le cadre Java
• Avoir une connaissance pratique de l'utilisation d'outils de test de sécurité
• Obtenir des sources et des lectures complémentaires sur les bonnes pratiques du codage sécurisé

En tant que développeur, votre devoir est d'écrire un code à toute épreuve.

Et si nous vous disions que, malgré tous vos efforts, le code que vous avez écrit pendant toute votre carrière est plein de faiblesses dont vous n'avez jamais soupçonné l'existence ? Et si, au moment où vous lisez ces lignes, des pirates informatiques tentaient de s'introduire dans votre code ? Quelles seraient leurs chances de réussite ? Et s'ils pouvaient voler votre base de données et la vendre au marché noir ?

Ce cours sur la sécurité des applications Web changera votre façon de voir le code. Il s'agit d'une formation pratique au cours de laquelle nous vous enseignerons toutes les astuces des attaquants et la manière de les atténuer, ce qui vous laissera uniquement le désir d'en savoir plus.

C'est votre choix d'être en tête du peloton et d'être perçu comme un changeur de jeu dans la lutte contre la cybercriminalité.

Les participants à cette formation pourront

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendre les vulnérabilités du Web au-delà du OWASP Top Ten et savoir comment les éviter
• Apprendre les vulnérabilités côté client et les pratiques de codage sécurisé
• En savoir plus sur la Node.js sécurité
• En savoir plus sur la sécurité MongoDB
• Avoir une compréhension pratique de la cryptographie
• Comprendre les protocoles de sécurité essentiels
• Comprendre les concepts de sécurité des services Web
• Apprendre la sécurité JSON
• Acquérir des connaissances pratiques sur l'utilisation des techniques et des outils de test de sécurité
• Apprendre à gérer les vulnérabilités des plateformes, des cadres et des bibliothèques utilisés
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé

Nombreux sont les langages de programmation disponibles aujourd'hui pour compiler du code vers les frameworks .NET et ASP.NET. L'environnement fournit des moyens puissants pour le développement de sécurité, mais les développeurs doivent savoir comment appliquer les techniques de programmation au niveau de l'architecture et du codage afin d'implémenter la fonctionnalité de sécurité souhaitée et d'éviter les vulnérabilités ou de limiter leur exploitation.

L'objectif de ce cours est d'enseigner aux développeurs, à travers de nombreuses exercices pratiques, comment empêcher le code non fiable d'exécuter des actions privilégiées, protéger les ressources grâce à une authentification et autorisation robustes, fournir des appels de procédure distante, gérer les sessions, introduire différentes implémentations pour certaines fonctionnalités, et bien plus encore.

L'introduction aux différentes vulnérabilités commence par la présentation de certains problèmes de programmation typiques commis lors de l'utilisation de .NET, tandis que la discussion sur les vulnérabilités d'ASP.NET aborde également diverses configurations de l'environnement et leurs effets. Enfin, le sujet des vulnérabilités spécifiques à ASP.NET ne traite pas seulement des défis généraux de la sécurité des applications web, mais aussi de problèmes particuliers et de méthodes d'attaque comme l'attaque sur ViewState ou les attaques par fin de chaîne.

Les participants à ce cours apprendront à

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendre les vulnérabilités web au-delà des OWASP Top Ten et savoir comment les éviter
• Utiliser diverses fonctionnalités de sécurité de l'environnement de développement .NET
• Acquérir une connaissance pratique dans l'utilisation d'outils de test de sécurité
• Connaître les erreurs de codage typiques et savoir comment les éviter
• Obtenir des informations sur certaines vulnérabilités récentes dans .NET et ASP.NET
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé

Public visé

Développeurs

Au-delà d'une solide connaissance de l'utilisation des différentes fonctionnalités de sécurité de .NET et ASP.NET, il est essentiel même pour les programmeurs expérimentés d'avoir une connaissance approfondie des vulnérabilités liées au web, tant côté serveur que côté client, ainsi que des conséquences des divers risques.

Dans ce cours, les vulnérabilités web générales sont démontrées en présentant les attaques pertinentes, tandis que les techniques de codage recommandées et les méthodes d'atténuation sont expliquées dans le contexte d'ASP.NET. Une attention particulière est accordée à la sécurité côté client, abordant les problèmes de sécurité liés au JavaScript, Ajax et HTML5.

Le cours traite également de l'architecture de sécurité et des composants du framework .NET, y compris le contrôle d'accès basé sur le code et les rôles, les mécanismes de déclaration et de vérification des autorisations et le modèle de transparence. Une brève introduction aux fondements de la cryptographie fournit une base pratique commune pour comprendre l'objectif et le fonctionnement des différents algorithmes, sur la base de laquelle le cours présente les fonctionnalités cryptographiques qui peuvent être utilisées dans .NET.

L'introduction des différentes erreurs de sécurité suit les catégories de vulnérabilités bien établies, abordant la validation des entrées, les fonctionnalités de sécurité, la gestion des erreurs, les problèmes liés au temps et à l'état, le groupe des problèmes généraux de qualité du code, ainsi qu'une section spéciale sur les vulnérabilités spécifiques à ASP.NET. Ces sujets se terminent par un aperçu des outils de test qui peuvent être utilisés pour révéler automatiquement certaines des erreurs abordées.

Les sujets sont présentés à travers des exercices pratiques où les participants peuvent expérimenter les conséquences de certaines vulnérabilités, les atténuations, ainsi que les API et outils discutés par eux-mêmes.

Les participants à ce cours

• Comprendront les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendront les vulnérabilités web au-delà des OWASP Top Ten et sauront comment les éviter
• Apprendront les vulnérabilités côté client et les pratiques de codage sécurisé
• Apprendront à utiliser différentes fonctionnalités de sécurité de l'environnement de développement .NET
• Auront une compréhension pratique de la cryptographie
• Obtiendront des informations sur certaines vulnérabilités récentes dans .NET et ASP.NET
• Acquerront des connaissances pratiques dans l'utilisation d'outils de test de sécurité
• Apprendront les erreurs de codage typiques et comment les éviter
• Obtiendront des sources et des lectures complémentaires sur les pratiques de codage sécurisé

Public cible

Développeurs

Le cours présente certains concepts de sécurité courants, donne un aperçu des vulnérabilités indépendamment des langages de programmation et des plateformes utilisés, et explique comment gérer les risques liés à la sécurité du logiciel aux différents stades du cycle de développement. Sans entrer dans les détails techniques, il met en évidence certaines des vulnérabilités les plus intéressantes et préoccupantes dans diverses technologies de développement de logiciels, et présente les défis du test de sécurité ainsi que quelques techniques et outils qui peuvent être utilisés pour détecter les problèmes existants dans le code.

Les participants à ce cours auront la possibilité

• De comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• De comprendre les vulnérabilités Web tant côté serveur que côté client
• D'être conscients des graves conséquences d'un traitement non sécurisé des tampons
• D'être informés sur certaines vulnérabilités récentes dans les environnements de développement et les frameworks
• De connaître les erreurs de codage typiques et la manière d'y échapper
• De comprendre les approches et méthodologies du test de sécurité

Public cible

Chefs de projet

Le cours fournit aux développeurs de PHP les compétences essentielles nécessaires pour rendre leurs applications résistantes aux attaques contemporaines par le biais d'Internet. Les vulnérabilités du Web sont discutées à travers des exemples basés sur le PHP qui vont au-delà des dix principales vulnérabilités du OWASP, en abordant diverses attaques par injection, des injections de scripts, des attaques contre la gestion des sessions du PHP, des références directes d'objets non sécurisées, des problèmes avec le téléchargement de fichiers, et bien d'autres encore. Les vulnérabilités liées à PHP sont regroupées dans les types de vulnérabilités standard : validation d'entrée manquante ou incorrecte, gestion incorrecte des erreurs et des exceptions, utilisation incorrecte des fonctions de sécurité et problèmes liés au temps et à l'état. Pour ces derniers, nous discutons d'attaques telles que le contournement d'open_basedir, le déni de service par le biais de magic float ou l'attaque par collision de la table de hachage. Dans tous les cas, les participants se familiariseront avec les techniques et les fonctions les plus importantes à utiliser pour atténuer les risques énumérés.

Un accent particulier est mis sur la sécurité côté client en abordant les problèmes de sécurité de JavaScript, Ajax et HTML5. Un certain nombre d'extensions de PHP liées à la sécurité sont introduites comme hash, mcrypt et OpenSSL pour la cryptographie, ou Ctype, ext/filter et HTML Purifier pour la validation d'entrée. Les meilleures pratiques de renforcement sont données en relation avec la configuration de PHP (réglage de php.ini), Apache et le serveur en général. Enfin, une vue d'ensemble est donnée des différents outils et techniques de test de sécurité que les développeurs et les testeurs peuvent utiliser, y compris les scanners de sécurité, les tests de pénétration et les packs d'exploitation, les renifleurs, les serveurs proxy, les outils de fuzzing et les analyseurs statiques de code source.

L'introduction des vulnérabilités et les pratiques de configuration sont soutenues par un certain nombre d'exercices pratiques démontrant les conséquences d'attaques réussies, montrant comment appliquer des techniques d'atténuation et introduisant l'utilisation de diverses extensions et outils.

Les participants à ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendre les vulnérabilités du Web au-delà du OWASP Top Ten et savoir comment les éviter
• Apprendre les vulnérabilités côté client et les pratiques de codage sécurisé
• Avoir une compréhension pratique de la cryptographie
• Apprendre à utiliser les différentes fonctions de sécurité de PHP.
• Connaître les erreurs de codage typiques et savoir comment les éviter
• Être informé des récentes vulnérabilités du framework PHP.
• Acquérir des connaissances pratiques sur l'utilisation des outils de test de sécurité
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé.

Public

Développeurs

La formation combinée SDL core offre un aperçu de la conception, du développement et du test sécurisés des logiciels à travers le Microsoft Secure Development Lifecycle (SDL). Elle fournit une vue d'ensemble de niveau 100 des éléments fondamentaux de l'SDL, suivie de techniques de conception pour détecter et corriger les failles aux premiers stades du processus de développement.

Concernant la phase de développement, le cours donne un aperçu des bugs de programmation typiques liés à la sécurité, qu'il s'agisse de code géré ou natif. Les méthodes d'attaque sont présentées pour les vulnérabilités discutées, ainsi que les techniques de mitigation associées, toutes expliquées par le biais d'exercices pratiques offrant des moments de hacking en direct aux participants. L'introduction de différentes méthodes de test sécurisé est suivie de la démonstration de l'efficacité de divers outils de test. Les participants peuvent comprendre le fonctionnement de ces outils grâce à un certain nombre d'exercices pratiques en les appliquant au code vulnérable déjà discuté.

Les participants à ce cours

Comprendront les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé

Connaîtront les étapes essentielles du Microsoft Secure Development Lifecycle

Apprendront les pratiques de conception et de développement sécurisés

Apprendront les principes de mise en œuvre sécurisée

Comprendront la méthodologie du test sécurisé

• Obtiendront des sources et des lectures complémentaires sur les pratiques de codage sécurisé

Public cible

Développeurs, Managers

Après s'être familiarisés avec les vulnérabilités et les méthodes d'attaque, les participants découvrent l'approche générale et la méthodologie des tests de sécurité, ainsi que les techniques qui peuvent être appliquées pour révéler des vulnérabilités spécifiques. Les tests de sécurité devraient commencer par la collecte d'informations sur le système (ToC, c'est-à-dire la cible de l'évaluation), puis une modélisation approfondie des menaces devrait révéler et évaluer toutes les menaces, pour aboutir au plan de test le plus approprié basé sur l'analyse des risques.

Les évaluations de sécurité peuvent avoir lieu à différentes étapes du cycle de développement durable, et nous discutons donc de l'examen de la conception, de l'examen du code, de la reconnaissance et de la collecte d'informations sur le système, du test de l'implémentation et du test et du durcissement de l'environnement pour un déploiement sécurisé. De nombreuses techniques de test de sécurité sont présentées en détail, comme l'analyse des taches et l'examen du code basé sur l'heuristique, l'analyse statique du code, le test de vulnérabilité dynamique du web ou le fuzzing. Différents types d'outils sont présentés qui peuvent être appliqués afin d'automatiser l'évaluation de la sécurité des produits logiciels, ce qui est également soutenu par un certain nombre d'exercices, où nous exécutons ces outils pour analyser le code vulnérable déjà discuté. De nombreuses études de cas réels permettent de mieux comprendre les différentes vulnérabilités.

Ce cours prépare les testeurs et le personnel d'assurance qualité à planifier de manière adéquate et à exécuter avec précision les tests de sécurité, à sélectionner et à utiliser les outils et les techniques les plus appropriés pour trouver les failles de sécurité même cachées, et donne ainsi des compétences pratiques essentielles qui peuvent être appliquées le jour suivant.

Les participants à ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendre les vulnérabilités du Web au-delà du OWASP Top Ten et savoir comment les éviter
• Apprendre les vulnérabilités côté client et les pratiques de codage sécurisé
• Comprendre les approches et les méthodologies des tests de sécurité
• Acquérir des connaissances pratiques sur l'utilisation des techniques et des outils de test de sécurité
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé.

Public

Développeurs, testeurs

Protéger les applications accessibles via le web nécessite des professionnels de la sécurité bien préparés qui sont toujours conscients des méthodes d'attaque actuelles et des tendances. Une multitude de technologies et d'environnements permettent le développement confortable d'applications web. Il ne faut pas seulement être conscient des problèmes de sécurité pertinents pour ces plateformes, mais aussi de toutes les vulnérabilités générales qui s'appliquent, indépendamment des outils de développement utilisés.

Le cours donne un aperçu des solutions de sécurité applicables aux applications web, avec un accent particulier sur la compréhension des solutions cryptographiques les plus importantes à appliquer. Les différentes vulnérabilités des applications web sont présentées à la fois du côté serveur (suivant le Top Ten d'OWASP) et du côté client, démontrées à travers les attaques pertinentes, et suivies des techniques de codage recommandées et des méthodes d'atténuation pour éviter les problèmes associés. Le sujet de la programmation sécurisée est conclu en discutant de quelques erreurs de programmation typiques pertinentes pour la sécurité dans le domaine de la validation des entrées, de l'utilisation incorrecte des fonctionnalités de sécurité et de la qualité du code.

Les tests jouent un rôle très important dans l'assurance de la sécurité et de la robustesse des applications web. Diverses approches – allant de l'audit de haut niveau, des tests de pénétration à l'hacking éthique – peuvent être appliquées pour trouver des vulnérabilités de différents types. Cependant, si vous souhaitez aller au-delà des vulnérabilités faciles à trouver, les tests de sécurité doivent être bien planifiés et correctement exécutés. Rappelez-vous : les testeurs de sécurité devraient idéalement trouver tous les bugs pour protéger un système, tandis que pour les adversaires, il suffit de trouver une vulnérabilité exploitable pour y pénétrer.

Les exercices pratiques aideront à comprendre les vulnérabilités des applications web, les erreurs de programmation et surtout les techniques d'atténuation, ainsi que des essais pratiques de divers outils de test allant des analyseurs de sécurité, des sniffers, des serveurs proxy, des outils de fuzzing aux analyseurs de code source statique. Ce cours fournit les compétences pratiques essentielles qui peuvent être appliquées dès le lendemain au travail.

Les participants à ce cours

• Comprendront les concepts de base de la sécurité, de la sécurité informatique et de la programmation sécurisée
• Apprendront les vulnérabilités web au-delà du Top Ten d'OWASP et sauront comment les éviter
• Apprendront les vulnérabilités côté client et les pratiques de programmation sécurisée
• Auront une compréhension pratique de la cryptographie
• Comprendront les approches et méthodologies de tests de sécurité
• Acquerront des connaissances pratiques sur l'utilisation des techniques et outils de tests de sécurité
• Seront informés des vulnérabilités récentes sur diverses plateformes, frameworks et bibliothèques
• Obtiendront des sources et des lectures supplémentaires sur les pratiques de programmation sécurisée

Public cible

Développeurs, Testeurs

La sécurité Web Application Security est la discipline visant à protéger les applications en ligne des menaces et vulnérabilités modernes de sécurité, y compris celles qui sont indépendantes du support et affectent l'architecture de base des applications et le traitement des entrées.

Cette formation dispensée par un formateur (en ligne ou sur site) s'adresse aux développeurs intermédiaires souhaitant comprendre et appliquer les techniques de codage sécurisé pour atténuer les vulnérabilités web et mettre en œuvre une sécurité robuste des applications web.

À la fin de cette formation, les participants seront capables de :

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé.
• Apprendre les vulnérabilités Web au-delà des OWASP Top Ten et savoir comment les éviter.
• Maitriser les vulnérabilités côté client et les bonnes pratiques de codage sécurisé.
• Avoir une compréhension pratique de la cryptographie.
• Comprendre les concepts de sécurité des services Web.
• Acquérir une connaissance pratique dans l'utilisation des outils de test de sécurité.
• Obtenir des sources et des lectures complémentaires sur les bonnes pratiques du codage sécurisé.

Format du cours permettant d'évaluer les participants

• Cours interactif et discussion.
• De nombreux exercices et pratiques.
• Mise en œuvre pratique dans un environnement de laboratoire vivant.

Options de personnalisation du cours

• Pour demander une formation personnalisée pour ce cours, veuillez nous contacter pour arranger cela.

Dans ce cours en direct, dirigé par un instructeur, les participants apprendront à formuler la stratégie de sécurité appropriée pour relever le défi de la sécurité DevOps.

Cette formation en direct (en ligne ou sur site) s'adresse aux développeurs, ingénieurs et architectes qui cherchent à sécuriser leurs applications et services web.

A l'issue de cette formation, les participants seront en mesure d'intégrer, de tester, de protéger et d'analyser leurs applications et services web en utilisant le cadre et les outils de test OWASP.

Ce cours en France vise à aider dans les points suivants :

1. Aider les développeurs à maîtriser les techniques de codage sécurisé
2. Aider les testeurs logiciels à tester la sécurité de l'application avant sa publication dans l'environnement de production
3. Aider les architectes logiciels à comprendre les risques entourant les applications
4. Aider les chefs d'équipe à fixer les lignes directrices de sécurité pour les développeurs
5. Aider les webmasters à configurer les serveurs pour éviter les mauvaises configurations

Ce cours couvre les concepts et principes de codage sécurisé avec Java à travers la méthodologie de test de l'Open Web Application Security Project (OWASP). L'Open Web Application Security Project est une communauté en ligne qui crée des articles, méthodologies, documentations, outils et technologies librement disponibles dans le domaine de la sécurité des applications web.

Ce cours couvre les concepts et principes de codage sécurisé avec ASP.NET, en utilisant la méthodologie de test du Projet Open Web Application Security (OWASP). OWASP est une communauté en ligne qui crée des articles, des méthodologies, des documentations, des outils et des technologies librement disponibles dans le domaine de la sécurité des applications web.

Ce cours explore les fonctionnalités de sécurité du Framework .NET et comment sécuriser les applications web.   
    
    
    
    
    

Description :

Ce cours permettra aux participants d'acquérir une compréhension approfondie des concepts de sécurité, des concepts d'application web et des cadres utilisés par les développeurs afin d'être en mesure d'exploiter et de protéger les applications ciblées. Dans le monde d'aujourd'hui, qui évolue rapidement et donc toutes les technologies utilisées sont également modifiées à un rythme rapide, les applications web sont exposées aux attaques des pirates 24/7. Pour protéger les applications contre les attaquants externes, il faut connaître tous les éléments qui composent l'application web, comme les cadres, les langages et les technologies utilisés dans le développement d'applications web, et bien plus encore. Le problème est que l'attaquant ne doit connaître qu'un seul moyen de pénétrer dans l'application et que le développeur (ou l'administrateur système) doit connaître tous les exploits possibles afin d'empêcher que cela ne se produise. C'est pourquoi il est vraiment difficile d'avoir une application web sécurisée à toute épreuve, et dans la plupart des cas, l'application web est vulnérable à quelque chose. Cette vulnérabilité est régulièrement exploitée par les cybercriminels et les pirates occasionnels, et elle peut être minimisée par une planification, un développement, des tests et une configuration corrects de l'application web.

Objectifs :

Vous donner les compétences et les connaissances nécessaires pour comprendre et identifier les exploits possibles dans les applications web réelles, et pour exploiter les vulnérabilités identifiées. Grâce aux connaissances acquises au cours de la phase d'identification et d'exploitation, vous devriez être en mesure de protéger l'application web contre des attaques similaires. A l'issue de ce cours, le participant sera capable de comprendre et d'identifier les OWASP 10 principales vulnérabilités et d'incorporer ces connaissances dans le schéma de protection de l'application web.

Public :

Développeurs, police et autres forces de l'ordre, personnel militaire et de défense, professionnels de la sécurité électronique, administrateurs de systèmes, professionnels de la banque, de l'assurance et autres, agences gouvernementales, responsables informatiques, CISO, CTO.