Informatique

Fast Track Java Security Developpeur

Description

Cette formation propose une approche complète du sujet. C'est une formation pratique couvrant des fonctionnalités Java de sécurité, les règles, les forces et les faiblesses. Elle aide les développeurs à comprendre comment écrire des applications Java sûres et robustes et fournit des connaissances avancées dans divers aspects du développement Java sécurisé qui peut prévenir efficacement les codes erronés et dangereux. Il en résulte des pratiques de codage de sécurité Java qui permettront de gagner un temps précieux et peut-être sauveront la réputation des organisations utilisant ces applications.

Les aspects de la sécurité du développement seront abordés en profondeur sous différents axes :

  • Point de vue de l’attaquant avec une introduction au hacking applicatif
  • Comment coder : les règles, les bonnes recettes et raccourcis à ne pas prendre
  • Sécurité dans les cycles de développement - SSDLC
  • HTML5 ses nouvelles features et le lien avec la sécurité
  • Sécurité du développement en lien avec les bases de données
  • Sécurisation des serveurs et plateformes
Objectifs

Au terme de la formation, le participant doit être capable de :

  • Développer des applications Java robustes
  • Enrichir ses connaissances en sécurité de la programmation et ainsi renforcer la robustesse de ses développements.
  • Sensibiliser ses collaborateurs à la sécurité et ainsi valoriser cet aspect critique du E-commerce auprès de ses clients.
Programme
  • HACK1
    • Vue d’ensemble de la sécurité applicative
    • Comment évaluer la sécurité (connaître l’ennemi, Préparer ses défenses, contrôler son travail)
    • Tests d’intrusion
    • Méthodologie et outils
    • Classification des risques
    • Exploitation
    • Guide de test OWASP
    • Notions connexes (whitebox / blackbox) et analyse de risque.
  • HACK2
    • Labos : le laboratoire permettra à l’étudiant d’attaquer un serveur en combinant plusieurs vulnérabilités vues lors de la première session. Le but étant d’obtenir les droits administrateur du système d’exploitation du serveur
    • Chaque étudiant aura sa cible et sa machine d’attaque
  • CODE1
    • Sécurité des applications : Les attaques et les défenses
    • Règles à respecter pour développer de manière sécurisée
    • Analyse des erreurs classiques
    • Protection et classification des données par sensibilité
    • Comment intégrer proprement une matrice d’autorisation dans un logiciel
    • Avantages des outils modernes (Frameworks) dans la sécurité applicative actuelle
  • CODE2 et CODE3
    • Labos
    • Apprentissage de l’identification des erreurs logicielles classiques dans un code source
    • Travaux pratiques avec les outils Jenkins, SonarQube et TFS pour construire un ensemble de métriques permettant de mesurer la qualité d’un code source
    • Travaux pratiques pour diminuer le temps de déploiement dans une optique DevOps et évaluer les impacts sécurité
    • Le laboratoire sera orienté vers l’analyse statique et dynamique du code afin de couvrir les différentes branches de la sécurité avant une mise en production
  • HTML5
    • Nouveautés HTML5
      • CORS
      • WebSocket
      • Canvas
    • Nouveautés HTTP 2.0
      • SPDY
      • Pipelining
    • Exemples pratiques :
      • Web browser fingerprint
      • Attaques cotés client : quels sont les risques de Javascript et les limites de la détection antivirus
  • SSDLC1
    • En quoi consiste le Secure Software Development Life Cycle (SSDLC) ?
      • Raison d’être
      • Avantages
    • Comment mettre en place un SSDLC ?
      • Vue d’ensemble de l’OWASP Open SAMM
      • Pourquoi utiliser ce référentiel pour votre SSDLC ?
      • Comment utiliser Open SAMM ?
    • Exemples pratiques :
      • Choisir les bonnes pratiques de sécurités en fonction de “Security Practices” en fonction du contexte
      • Définir une roadmap
  • DB1
    • Sécurisation des bases de données
    • Chiffrement
      • Système de chiffrement
      • Gestion des clés
      • Accès en RAM
      • Sécurité du système d’exploitation
    • Accès
      • Database firewall
      • Logs d’accès/Audit
      • Injections SQL/NoSQL
      • Droits du DBMS
      • Droits dans le DBMS
  • HOST1
    • Introduction
    • Contexte
    • Définitions
    • Méthodologie
    • Hardening Guide
    • Scenarii
    • Environnement Java
    • Environnement Tomcat
    • Référentiel de test OWASP
    • Approches de sécurisation : surface d’attaque et exploitabilité.
    • Validation des différentes phases de sécurisation
    • Intégration du serveur dans une démarche de sécurisation globale.
    • Différences Linux/Unix/Windows
  • HOST2
    • Labos
    • L’étudiant validera les impacts du hardening sur un serveur d’application
    • En tant qu’attaquant, les différentes limitations induitent par la sécurisation avancée, impliquent une limitation des possibilités d’exploitation, l’étudiant en verra les différents effets dans l’architecture Java
Public cible
  • Développeurs
  • Chefs de projets
  • Architectes
  • Ingénieurs Logiciels
Support de cours

Le support de cours imprimé vous sera délivré en début du cours.

Certificat

A l’issue de la formation les participants recevront un certificat de participation délivré par la House of Training.

Formation
Formation
& Examen
Examen
FR
40 heures
Chambre de Commerce du Grand-Duché de Luxembourg
voir affichage sur place (Chambre de Commerce du Grand-Duché de Luxembourg)
7, rue Alcide de Gasperi
Luxembourg, L-2981
Luxembourg
1.550,00 EUR