Savoir faire > FORMATIONS

Catalogue des

Formations

CSPD

Certified Secure PHP Developer

Le cours présentera des lignes directrices de sécurité dans PHP Web Applications Development. Les participants apprendront les bases de la sécurité des applications, comment appliquer la sécurité sur une application basée sur PHP au niveau du code et les meilleures pratiques de sécurité à suivre dans chaque phase de développement de logiciels.

OBJECTIFS

À la fin de ce cours, les participants seront en mesure de:

  • Comprendre le besoin de sécurité
  • Comprendre les menaces de sécurité
  • Concevoir et développer une applications PHP sécurisées
  • Concevoir et développer une application utilisant ESAPI (Enterprise Security API by OWASP)

DESCRIPTION

  •  Introduction
  • Modélisation des menaces
  • Compréhension de la configuration des tests
  • Attaques et contre-mesures pour applications Web
  • Scanners d’applications Web
  • Cadres de sécurité
  • Contre-mesures spécifiques PHP
  • Meilleures pratiques de sécurité du serveur Web 
  • Meilleures pratiques de sécurité de base de données (serveur MySQL)
  •  Cycle de vie du développement sécurisé
  •  Test des services Web

PUBLIC CONCERNÉ

  • Les développeurs PHP souhaitant améliorer leurs compétences en sécurité
  • Testeurs qui veulent améliorer leurs compétences en sécurité
  • Les Architectes du développement et du système souhaitant améliorer leurs compétences en sécurité 

PLAN DE COURS

Séance 1 : Introduction

  • Module 1: Introduction et étude de cas
  • Module 2: connaître les méthodes de test de sécurité
  • Module 3: Sécurité des applications – Vue d’ensemble

Séance 2 : Modélisation des menaces

  • Objectif de modélisation des menaces
  • Terminologies utilisées
  • Profilage des menaces
  • Modèle STRID
  • Modèle DREAD
  • Considération pratique
  • Outils de modélisation de menace

Séance 3Compréhension de la configuration des tests

  • Utilisation du proxy d’application Web
  • Burp Suite

Séance 4 :Attaques et contre-mesures pour applications Web

  • OWASP Top 10
  • A1-Injection Authentification et gestion des sessions
  • A2-Broken
  • A3-Cross-Site Scripting (XSS) 
  • A5-Security Misconfiguration
  • Exposition aux données sensibles
  •  l’A6 Contrôle d’accès au niveau de fonction
  • A7-Missing
  • A8-Cross-Site Request Forgery (CSRF)
  • A9-Utilisation de composants 
  • A10 – Redirections et avances non valides Au-delà de OWASP
  • Abus de fonctionnalité
  • Problèmes d’authentification et d’autorisation
  • De l’inclusion de fichier à l’exécution de code à distance
  • Vulnérabilités basées sur API / CMS
  • Plongeon de WEB vers LAN
  • Test de logique 
  • Attaques basées sur Flash
  • IFrame Attacks

Séance 5Scanners d’applications Web

  • Scanner automatisé
  • Balayage de profils
  • Interprétation des résultats
  • Identification des faux positifs

Séance 6 : Cadres de sécurité

  • OWASP ESAPI Security

Séance 7Contre-mesures spécifiques PHP

  • Préoccupations de validation
  • Meilleures pratiques de gestion de session
  • Problèmes d’authentification et d’autorisation
  • CSRF Fixes
  • Téléchargement de fichier sécurisé
  • Prévenir les inclusions de fichiers
  • Compréhension de la cryptographie
  • Gestion des erreurs et enregistrement
  • Sécurité dans .htaccess
  • Sécurité dans php.ini

Séance 8:Meilleures pratiques de sécurité du serveur Web (Apache) Session

Séance 9:Meilleures pratiques de sécurité de base de données (serveur MySQL)

Séance 10:Cycle de vie du développement sécurisé

Séance 11: Test des services Web

Séance 12Analyse de code source

Lieu

Nous contacter

Examen

Examen de Certification

Informations Complémentaires

Un support de cours est fourni aux participants.
Exercices de pratique

S'INSCRIRE À LA FORMATION
Retour au CATALOGUE DES FORMATIONS
SUIVEZ-NOUS