Sécurité des applications – Mines-Télécom Paris
Objectif et présentation
La formation a pour objectif de comprendre les enjeux de la sécurité des applications Web écrites en PHP, d’appréhender les attaques et de mettre en place les bonnes pratiques de sécurité. De nombreux problèmes de sécurité existent quand on accède à un site web, notamment écrit en PHP. Les techniques d’attaque sont variées : problèmes dus à l’authentification, au contrôle d’accès, aux failles de type injection de code ou de requêtes, aux fuites d’information… La session amène les stagiaires à trouver les solutions informatiques pour remédier à ces problèmes de sécurité notamment aux problèmes liés à la cyber-criminalité
Programme
Introduction :
- Les différentes facettes de la sécurité sur le web ; Les mécanismes ; Les problèmes et les solutions : authentification, contrôle d’accès, injection de codes ou de requêtes, fuites d’information.
Les injections SQL
- Mécanismes et vulnérabilités ; Fonctions PHP : htmlentities, htmlspacialchars ; Les autres fonctions : htmlencode, htmldecode ; Le module objet PDO ; Travaux pratiques : éviter les injections de code de type SQL et d’une manière générale toutes sortes d’injections de code.
HTTP et Apache
- Protocole HTTP, HTTPS ; Echanges entre le client web et les serveurs http ; les problèmes : HTTP referer, etc ; Travaux pratiques : installation de SSH sur un serveur Apache ; PHP et SSH : mise en situation ; Comment sécuriser un seveur Apache ; Paramétrages et recompilation d’un seveur Apache pour mieux sécuriser.
Le cross-site scripting
- Connaître l’une des attaques les plus classiques sur le web ; Se protéger ; Utiliser différents outils : Burp suite, WireShark, etc ; Résoudre les problèmes (lancement de commandes en tant qu’administrateur, plantage d’un site : surcharge, bug volontaire, modifications de certains programmes sensibles, etc), Mettre en place le mécanisme de cross-site Scripting et y remédier (travaux pratiques).
Authentification et autorisation
- Mécanismes d’authentification et d’autorisation, les erreurs, les insuffisances, Problèmes de sécurité liés à MySQL, Installation et mise en oeuvre de mécanismes d’authentification et d’autorisation suffisamment sécurisés avec PHP et MySQL voire d’autres SGBD (travaux pratiques).
Les fonctions à risque
- Fonctions à risque en PHP ; Fonctions à risques en MySQL et PostGress ; Paramètres à risque : fichiers de configuration Apache et PHP (httpd. conf, php.ini et les autres moins connus mais tout aussi importants) ; Attaques à froid vers MySQL et PostGress ; Chiffrement bas niveau ou haut niveau : les erreurs à ne pas faire ; Etude de fonctions à risque sous la forme de travaux pratiques.
Description de Firewalls applicatifs
- Interception des attaques vers MySQL ; L’exemple de GreensSQL : comment intégrer un tel outil dans un site Web existant ; Mise en place d’un serveur de type Firewall applicatif (travaux pratiques).
Localisation
Institut Mines-Télécom
Télécom Bretagne Brest
655 Avenue du Technopole, 29200 Plouzané
02 29 00 11 11
Volume horaire
Public pré-requis
Ingénieurs systèmes, équipes de développement des applications nationales et locales.
