Formation La sécurité des applications Java / JavaEE
Public admis
- Salarié en Poste
- Demandeur d'emploi
- Entreprise
- Etudiant
Financements
Eligible CPF Votre OPCO Financement personnel
Objectifs de la formation
A l'issue de cette formation Sécurité des applications Java vous aurez acquis les connaissances et compétences nécessaires pour :
- Connaitre les concepts liés à la sécurité
- Savoir charger et vérifier des classes
- Connaitre le cross-site scripting et la sécurité liée
- Maitriser le gestionnaire de sécurité et permissions
- Maitriser SSL et Java
| Tarif |
A partir de 1 690,00 € |
| Durée | 3 jours (21h) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
| Tarif |
A partir de 1 690,00 € |
| Durée | 3 jours (21h) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
Description
Le langage Java contient intrinsèquement de nombreux mécanismes permettant l'élaboration de programmes sûrs. Ces mécanismes couvrent différentes facettes de la sécurité comme l'intégrité, la confidentialité, l'identification sûre ou la protection contre les malveillances.
Cette formation Sécurité des applications Java permet de passer en revue ces différents sujets et propose à chaque fois des ateliers pédagogiques permettant de comprendre en profondeur les mécanismes d'exécution de la JVM. Le dernier chapitre se concentre sur les spécificités des applications web Java EE en détaillant SSL, le modèle de sécurité des différents tiers ainsi que les spécificités des architectures SOA.
Programme
Introduction aux concepts liés à la sécurité
Identification et méthodes d'authentification.
Autorisations et permissions.
Confidentialité, non-répudiation, cryptage, clés publiques/privées, autorités de certification.
Pare-feu et DMZ, rupture de protocole.
Les types d'attaques.
Le modèle de sécurité de la JVM
Chargement et vérification des classes
Un des premiers mécanismes implémentés par la JVM est de s'assurer que le code chargé en mémoire ne peut contourner les mécanismes de protection du langage.
Rôle du compilateur Java
Rôle des classloader
Les différentes zones mémoires de la JVM et leur gestion par le garbage collector
Hiérarchie des différents classloader
Vérification du byte-code
Chargement dynamique ce classe
Implémenter un class loader
Atelier
Modification d'un fichier .class et exécution avec l'option -noverify, Implémentation d'un classloader chargeant des classes cryptées.
Cross-site scripting et sécurité
Le principe du XSS (injection de contenu)
Liens avec les programmes Java
Déclinaisons (Stored XSS, Reflected XSS, DOM-based XSS)
Nouvelles "possibilités" avec le HTML 5
Atelier
Exemples d'hameçonngae et de récupération de cookies.
Les permissions et le gestionnaire de sécurité permettent de contrôler finement les autorisations d'un programme et ses interactions avec son environnement.
Opérations contrôlables
Activation du gestionnaire de sécurité
Domaine de protection, provenance du code et permissions
Parcours de l'API
Fichier .policy
Les classes Permission
Implémentation d'une classe Permission
Atelier
Mise au point d'un fichier .policy, implémentation d'une classe Permission.
JAAS, Authentification et Autorisations
JAAS offre les services d'authentification et d'autorisations des utilisateurs ou systèmes externes interagissant avec l'application tout en restant du indépendant de la technologie d'authentification.
Présentation de JAAS
LoginContext / LoginModule, Configuration et empilement des login modules
LoginModule communément disponibles
Implémentation d'un login module spécifique, les CallbackHandler
Autorisations, Objet Subject et Principals, Configuration des permissions
Atelier
Implémentation d'un LoginModule, Configuration des autorisations à partir de rôles utilisateurs.
Signatures numériques et chiffrement
Les techniques de cryptographie permettent de garantir la provenance d'un code et sa non altération.
Empreinte de messsage, SHA1 et MD5
Signature numérique, clé publiques et clés privées
L'outil keytool et les keystore
L'outil jarsigner
Les autorités de certification
Déploiement de code signé dans un intranet ou sur internet
Permissions basées sur des keystore
Chiffrement de données, les algorithmes AES et RSA
AtelierVérification d'une empreinte, Déploiement d'un applet dans un intranet, Chiffrement symétrique et asymétrique.
SSL et Java
Fonctions de Java Secure Socket Extension (JSSE). Comparaison avec Java GSS-API
Authentification via certificats X.509. TLS et SSL.
Encryption à base de clés publiques, Java Cryptography Extension (JCE).
Utilisation de SSL avec HTTP.
Atelier - Configurer SSL et mise en oeuvre de sockets SSL. Utiliser des outils du JDK (Keystore).
La sécurité d'une application JEE
Authentification au niveau des conteneurs Web et EJB.
Rôles applicatifs, permissions et descripteurs de déploiement XML.
Contrôles dynamiques via les API Servlets et EJB.
La sécurité dans les API : JDBC/JPA, JNDI, JTA, JMS, JCA.
Atelier
Sécurité d'une application déployée dans Tomcat.
La sécurité des services web SOAP
Sécurité au niveau HTTP.
Sécurité au niveau SOAP & WSDL avec WS-Security (WSS4J, XWSS...) & WS-Policy.
Les handlers SOAP WS-Security exploitant JAAS.
Atelier
Mise en pratique avec une implémentation de WS-Security (XWSS).
La sécurité des services web REST
Utilisation de SSL avec JAX-RS.
Les apports de oAuth (authentification sur Internet).
oAuth 1.0 et 2.0.
Atelier
Mise en pratique avec une implémentation Apache CXF de JAX-RS.
Prérequis
Public
Ces formations pourraient vous intéresser
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Installer et configurer des serveurs Web et des serveurs d'applications sous Windows Server
- Assurer la disponibilité et la sécurité des applications Web
- Réduire les risques grâce à la modularité
- Durcir un environnement IIS.
| Tarif |
A partir de 2 010,00 € |
| Durée |
3j / 21h |
| Modes |
|
Formation initiale en Santé, Sécurité et Conditions de Travail (membres élus des CSE/CSSCT)
Proposé par DEMOSObjectifs de la formation
- Connaître la réglementation en santé, sécurité et conditions de travail
- Exercer efficacement son mandat au sein du CSE et/ou de la CSSCT sur les questions SSCT
- Participer à l’analyse et à la prévention des risques professionnels
| Tarif |
A partir de 2 750,00 € |
| Durée |
5j / 35h |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Identifier les interfaces de base utilisées pour gérer l'environnement Check Point
- Identifier les types de technologies que Check Point supporte pour l'automatisation
- Expliquer le but du déploiement de Check Management High Availability (HA)
- Identifier le flux de travail suivi pour déployer un serveur primaire et une solution secondaire
- Expliquer les concepts de base du clustering et de ClusterXL, y compris les protocoles, la synchronisation, le maintien de la connexion
- Exclure des services de la synchronisation ou retarder la synchronisation
- Expliquer le processus d'installation des politiques
- Expliquer l'objectif des objets dynamiques, des objets pouvant être mis à jour et des flux réseau
- Gérer l'accès des utilisateurs internes et externes
- Décrire les composants et les configurations d'Identity Awareness
- Décrire les différentes solutions de prévention des menaces Check Point
- Expliquer comment le système de prévention des intrusions est configuré
- Obtenir des connaissances sur Check Point's IoT Protect
- Expliquer l'objectif des VPN basés sur un domaine
- Décrire les situations dans lesquelles l'authentification par certificat géré en externe est utilisée
- Décrire comment la sécurité du client peut être assurée par l'accès à distance
- Discuter de la lame logicielle d'accès mobile
- Déterminer si la configuration est conforme aux meilleures pratiques
- Définir les solutions d'optimisation des performances et le flux de travail de la configuration de base
- Identifier les méthodes et procédures de mise à niveau et de migration prises en charge pour les serveurs de gestion de la sécurité et les serveurs de journalisation et d'événements intelligents dédiés
- Identifier les méthodes et procédures de mise à niveau prises en charge pour les passerelles de sécurité.
| Tarif |
Contacter l'organisme |
| Durée |
3j / 21h |
| Modes |
|
Objectifs de la formation
- Choisir un modèle de licence approprié pour Windows Virtual Desktop
- Mettre en place une mise en réseau pour Windows Virtual Desktop
- Gérer les hôtes de session Windows Virtual Desktop à l'aide de Azure Bastion
- Configurer le stockage des composants FSLogix
- Créer et gérer des images d'hôtes de session
- Implémenter les rôles Azure et le contrôle d'accès basé sur les rôles (RBAC) pour Windows Virtual Desktop
- Configurer les paramètres d'expérience des utilisateurs du Windows Virtual Desktop
- Installer et configurer des applications sur un hôte de session
- Mettre en œuvre la continuité des activités et la reprise après sinistre
- Contrôler et gérer les performances du Windows Virtual Desktop
| Tarif |
A partir de 2 790,00 € |
| Durée |
4j / 28h |
| Modes |
|
Habilitation électrique B0 H0 H0V - Chargé de chantier - NFC 18-510 (A1)
Proposé par SHURAFORM - FORMAEREMObjectifs de la formation
Analyser le risque et savoir sen protéger.Organiser et réaliser des travaux dordre non électrique en toute sécurité dans un environnement présentant des risques électriquesÉvaluer et manipuler du matériel et outillage de façon adaptée aux risques électriques.
Rendre compte de son activité.
| Tarif |
A partir de 537,00 € |
| Durée |
1j / 2h |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Définir ce qu'est Microsoft Teams et comment les composants fonctionnent ensemble
- Mettre en oeuvre la gouvernance, la sécurité et la conformité dans Microsoft Teams
- Préparer un environnement d'entreprise pour un déploiement Microsoft Teams
- Déployer et gérer les équipes
- Gérer les expériences de collaboration et de communication dans Microsoft Teams
- Utiliser des techniques pour gérer et dépanner la communication dans Microsoft Teams.
| Tarif |
A partir de 2 440,00 € |
| Durée |
4j / 28h |
| Modes |
|
Objectifs de la formation
À l'issue de cette formation Big Data sur Amazon Web Services (AWS), vous aurez acquis les connaissances et compétences nécessaires pour :
- Comprendre les applications d'Apache Hadoop dans le contexte d'Amazon EMR
- Comprendre l'architecture d'un cluster Amazon EMR
- Lancer un cluster Amazon EMR en utilisant une image machine Amazon (AMI) et des types d'instances Amazon EC2 adaptés
- Connaître les options d'importation, de transfert et de compression des données destinées à Amazon EMR
- Sélectionner les options de stockage de données sur AWS les plus adaptées à leur traitement dans Amazon EMR
- Utiliser les frameworks de programmation courants compatibles avec Amazon EMR, notamment Hive, Pig et Streaming
- Utiliser Amazon Redshift pour déployer une solution de Big Data
- Utiliser un logiciel de visualisation des Big Data
- Sélectionner les options de sécurité les plus adaptées à Amazon EMR et à vos données
- Effectuer des analyses de données en mémoire avec Spark et Shark sur Amazon EMR
- Sélectionner les options adaptées pour gérer votre environnement Amazon EMR de façon rentable
- Comprendre les avantages d'Amazon Kinesis pour les applications de Big Data.
| Tarif |
Contacter l'organisme |
| Durée |
3j / 21h |
| Modes |
|
Objectifs de la formation
- Découvrir les pratiques de base de l’architecture AWS
- Examiner la mise en place de la sécurité des accounts à l’aide de stratégies
- Identifier les éléments nécessaires pour construire un réseau virtuel (VPC) modulable, sécurisé, qui inclut les sous-réseaux privés et les sous-réseaux publics
- Déterminer des stratégies pour une approche de sécurité en couches pour les sous-réseaux Virtual Private Cloud (VPC)
- Identifier des stratégies pour sélectionner les ressources de calcul appropriées (EC2, Lambda, container, …) en fonction des cas d’utilisation métier
- Créer un VPC et ajouter une instance Elastic Cloud Compute (EC2)
- Installer une instance Amazon Relational Database Service (RDS) et un répartiteur de charge d’application Balancer (ALB) dans le VPC créé
- Comparer les produits et services de stockage AWS
- Créer une couche de base de données hautement disponible et à mise à l’échelle automatique
- Explorer la potentialité des solutions de supervision AWS
- Etudier et échanger sur les outils d’automatisation AWS qui vous aideront à créer, maintenir et faire évoluer votre infrastructure
- Etudier l’appairage de réseaux, des points de terminaison de VPC, des solutions de passerelle et de routage en fonction des cas d’utilisation
- Connaitre les configurations de réseau hybride pour étendre et sécuriser votre infrastructure
- Découvrir les avantages des micro services en tant que stratégie de découplage efficace pour alimenter des applications hautement disponibles à grande échelle
- Explorer les services de conteneurs AWS pour la mise en œuvre rapide d’un environnement d’application portable et indépendant de l’infrastructure
- Identifier les avantages de sécurité des services « serverless » AWS sur la base d’exemples du monde réel
- S’entraîner à créer un déploiement CloudFront avec un backend S3 dans un environnement de laboratoire
- Explorer les solutions de sauvegarde, de récupération et les meilleures pratiques AWS pour assurer la résilience et la continuité des activités
- Créer une architecture cloud hautement disponible et sécurisée basée sur un problème métier, dans un laboratoire guidé par un animateur, basé sur un projet
| Tarif |
A partir de 2 750,00 € |
| Durée |
4j / 28h |
| Modes |
|
Objectifs de la formation
- Identifier et décrire les étapes liées au déroulement d'une attaque
- Apprendre les TTPs fréquemment utilisés par les attaquants
- Rechercher les principales vulnérabilités d'une architecture et de ses composants
- Réduire la surface d'attaque en utilisant les systèmes de détection et de déception
- Mettre en oeuvre une politique de sécurité
- Exploiter les services de Threat Intelligence
- Identifier et décrire les principes et les applications de défense en profondeur
| Tarif |
A partir de 2 390,00 € |
| Durée |
3j / 21h |
| Modes |
|
Veiller à la sécurité incendie dans les immeubles d’habitation
Proposé par APAVE EXPLOITATION FRANCEObjectifs de la formation
Les objectifs de la formation Veiller à la sécurité incendie dans les immeubles d’habitation :
- Identifier les exigences réglementaires - Veiller à la sécurité incendie dans les immeubles d’habitation - Reconnaître la mise en œuvre des moyens de secours
| Tarif |
A partir de 283,00 € |
| Durée |
1 jour - 7 heures |
| Modes |
|
