Vous êtes ici :

Formation Sécurité des applications .NET

A distance ou en présentiel

Avancé

Le Framework .NET intègre des fonctionnalités de sécurité très évoluées, qui s’appliquent aussi bien aux applications distribuées, qu’aux applications Web ASP.NET ou aux applications de bureau Windows. L’écriture d’un code sécurisé, l’utilisation d’un certificat, le chiffrement de données sont autant de challenges que le bon développeur .Net doit relever.

Cette formation Sécurité des applications .NET vous permet de comprendre les différentes problématiques de sécurité des applications Web, de connaître les meilleures pratiques pour écrire un code de qualité. Vous connaîtrez également les principales attaques Web afin de pouvoir les anticiper.

À qui s'adresse cette formation ?

Cette formation Sécurité .NET s’adresse aux chefs de projet informatique et aux développeurs .NET avec une bonne expérience.

Connaissance du développement Web /.NET et maîtriser un langage de programmation (C#, Java ou C++).

Les objectifs de la formation

Objectif opérationnel : 

Savoir maîtriser la sécurtié des applications Web.

Objectifs pédagogiques : 

Cette formation Sécurité des applications .NET vous donne les connaissances et compétences nécessaires pour :

  • Comprendre les problématiques de sécurité des applications Web
  • Connaître les meilleures pratiques pour écrire un code de qualité intégrant de façon native les fondamentaux de la sécurité
  • Connaître les principales attaques Web pour comprendre comment s’en prémunir
  • Savoir appliquer les mécanismes techniques de prévention des risques tel que l’authentification forte le cryptage de données ou encore l’utilisation de certificats

Contenu de la formation

  • Sécurité dans le Framework et du code

    • Concepts fondamentaux
    • Sécurité d’accès du code et des ressources
    • Sécurité basée sur les rôles
    • Le principe du W^X
    • Services de chiffrement
    • Validation et contrôle des entrées / sorties
    • Gestion et masquage d’erreurs
    • Gestion sécurisée de la mémoire
    • Contrôle d’authenticité et d’intégrité d’une application/d’un code
    • Offuscation du code
    • Reverse engineering sur : bundle C#, application Java, binaire Windows
    • Contrôle des droits avant exécution du code
    • Sécuriser les données sensibles présentes dans un binaire
    • Stack/Buffer/Heap overflow
  • Les bases de la cryptographie

    • Cryptographie – Les définitions
    • Types de chiffrement : chiffrement à clés partagées, chiffrement à clé publique
    • Symétrique vs. asymétrique, combinaisons symétrique / asymétrique
    • Fonctions de hachage
    • Utilisation des sels
    • Signatures numériques, processus de signature, processus de vérification
  • Chiffrement, hash et signature des données

    • Cryptographie Service Providers (CSP)
    • Système, sécurité, cryptographie
    • Choix des algorithmes de chiffrement
    • Chiffrement symétrique : algorithme (DES, 3DES, RC2, AES), chiffrement de flux, mode de chiffrement (CBC, ECB, CFB)
    • Algorithmes asymétriques
    • Algorithme : RSA, DSA, GPG
    • Algorithme de hachage : MD5, SHA1 / SHA2 / SH3
  • Vue d’ensemble d’une infrastructure à clé publique (PKI)

    • Certificat numérique : certificat X.509
    • PKI – Les définitions
    • Les fonctions PKI
    • PKI – Les composants
    • PKI – Le fonctionnement
    • Applications de PKI : SSL, VPN, IPSec
    • IPSec et SSL en entreprise
    • Smart Cards (cartes intelligentes)
    • Autorité de certification
  • SSL et certificat de serveur

    • Certificat de serveur SSL : présentation, autorité de certification d’entreprise, autorité de certification autonome
  • Utilisation de SSL et des certificats clients

    • Certificats clients
    • Fonctionnement de SSL : phase I, II, III et IV
    • Vérification de la couverture d’utilisation d’un certificat (lors du handshake)
    • Vérification des dates d’utilisation d’un certificat
  • Sécurité des services Web

    • Objectifs de la sécurisation des services Web : authentification, autorisation, confidentialité et intégrité
    • Limitations liées à SSL
    • Sécurité des services Web : WSE 2.0, sécurisation des messages SOAP / REST
  • Jetons de sécurité

    • Jetons de sécurité : User-Name Token, Binary Token, XML Token, JWT (JSON Web Tokens), Session-based Token
    • Intégrité d’un jeton (MAC / HMAC)
    • Cycle de vie d’un jeton, expiration automatique (ou pas), contexte d’utilisation d’un jeton
    • Habilitations suivant le contexte du jeton
    • Certificats X.509
    • Signature des messages SOAP / REST : création d’un jeton de sécurité, vérification des messages (MAC / HMAC), chiffrement des messages, déchiffrement du message
  • Sécurité et développement Web

    • Classification des attaques : STRIDE, OWASP
    • Les erreurs classiques
    • Authentification par jeton et gestion des habilitations
    • Les handlers et méthodes HTTP
    • Séparation des handlers par contexte de sécurité
    • Attaque par injection
    • Injection HTML
    • Injection CSS
    • Injection JS
    • Injection SQLXSS (Injection croisée de code) : XSS réfléchi, XSS stocké
    • XSS Cookie Stealer
    • CSRF : Cross-Site Request Forgery
  • Outils de sécurité et d’audit

    • Outils du SDK liés à la sécurité
    • Outils pour mener les tests de sécurité

Formation

A distance ou en présentiel

Référence :

SDNE

Durée :

3 jours

Ce cours est réalisable en intra-entreprise, en extra-entreprise , dans nos salles ou à distance.

Contacter notre service Intra