C# - Sécurité applicative avec .NET

Jour 1

Rappels sur la sécurité applicative

• Fonctionnement de la pile d'exécution
• L'analyse de code
• L'hijacking de ressources
• Les overflows
• Les protections lors de l'exécution

Sécurité du Framework .NET

• Les "namespaces"
• Le Sandboxing
• L'attribut APTCA (Allow Partially Trusted Callers Attribute)

Chiffrement avec C#

• Rappel des bases du chiffrement
• Les fonctions de hash
• Les algorithmes symétriques type AES
• Les algorithmes asymétriques RSA
• Windows Data Protection et File. Encrypt
• Générer des clés
• Générer des certificats

L'authentification

• Exploitation d'HTTP basic
• La classe FormsAuthenticationModule
• Le protocole IWA (Integrated Windows Authentication)
• La méthode Application_AuthenticateRequest
• Le contrôle des rôles et permissions
• La classe UrlAuthorizationModule
• Les "security attributes"

Exemple de travaux pratiques (à titre indicatif)

• Créer un outil d'authentification avec HTTP basic

Jour 2

La sécurité applicative

• Anatomie d'une faille applicative
• Présentation de l'OWASP et de ses projets
• Les Security Cheat Sheets
• Le Top 10
• Les guides de l'OWASP (Test Guide, Dev Guide...)
• L'ASVS (Application Security Verification Standard)
• Les grandes familles de vulnérabilités
• Les CVE (Common Vulnerabilities and Exposures)
• Les CWE (Common Weakness Enumerations)
• Le scoring CVSS (Common Vulnerability Scoring System)

Exemples de travaux pratiques (à titre indicatif)

• Estimation de la vulnérabilité d'un produit
• Exploitation :
• D'une injection d'entête HTTP
• D'une injection SQL
• D'une Cross-Site Scripting
• D'une Cross-Site Request Forgery
• D'une Server-Side Request Forgery

Jour 3

Exemples de travaux pratiques (à titre indicatif) - Suite

• Exploitation d'un vol de session
• Exploitation d'une désérialisation
• Exploitation d'une référence directe à un objet

La sécurité du code externe

• Le cas des librairies
• Le cas des API

Mettre en place du Secure Code

• Durcir son application avec l'OWASP ASVS et l'OWASP Dev Guide
• Les bonnes pratiques de sécurisation du code
• Se protéger de la décompilation
• L'obfuscation du code
• Faire des tests et des validations
• La capture via proxy
• La capture via tcpdump ou Wireshark
• Les tests avec Postman
• Les vulnerability scanners
• Le DAST (Dynamic Application Security Testing)
• Le SAST (Static Application Security Testing)
• Filtrer les échanges
• Les WAF (Web Application Firewalls)
• Les IPS et les IDS
• Limiter l'exposition
• Rôle des firewalls, proxies et DMZ

Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.

Modalités d’évaluation des acquis

• En cours de formation, par des études de cas ou des travaux pratiques
• Et, en fin de formation, par un questionnaire d'auto-évaluation