Sécuriser les applications PHP
Améliorez la sécurité de vos applications web avec notre formation dédiée à la sécurité des applications PHP. Nous couvrirons les types d’attaques courantes et leurs contre-mesures, notamment CSRF, XSS, SQL Injection et Remote Code Injection. Apprenez à sécuriser votre code PHP, y compris la gestion des sessions, le traitement des formulaires, et la protection du code SQL. Nous aborderons également la sécurisation de la plateforme d’hébergement et l’utilisation des frameworks PHP pour renforcer la sécurité. Parfait pour les développeurs PHP qui cherchent à renforcer la sécurité de leurs applications.
Proposé par
ENI Service
Prérequis
- Connaître le langage PHP, ou idéalement avoir suivi la formation PHP – Développer des applications Web [T44B-010].
Public admis
- Salarié en Poste
- Entreprise
Demandeur d'emploi et Etudiant non admis
Financement
- Votre OPCO
- Financement personnel
Financement CPF non pris en charge
Modalités
- En centre
- En entreprise
- À distance
Objectifs pédagogiques
- Décrire les vulnérabilités des applications Web.
- Identifier et mettre en oeuvre les contre-mesures appropriées pour se prémunir contre les attaques CSRF, XSS, SQL Injection, Remote Code Injection, ...
- Crypter les données applicatives sensibles.
- Décrire l'apport des frameworks et librairies PHP, pour la sécurité.
- Sécuriser l'environnement d'exécution PHP pour la production.
- Sécuriser un serveur Web Apache exécutant des applications PHP.
- Sécuriser un serveur de base de données MySQL.
Programme de la formation
La sécurité informatique dans un contexte Web (3 heures)
- Les différentes attaques et vulnérabilités des applications et sites Web
- CSRF, XSS, SQL Injection, Remote Code Injection
- Présentation des attaques et des contremesures associées
- La théorie des techniques de contre-mesure
- L'apport des frameworks de développement PHP pour la sécurité
- Travaux pratiques :
- Importation d'un projet d'application PHP vulnérable
- Identification des failles dans l'application
- Définition de la stratégie de sécurisation
Sécurisation du code (12 heures)
- Les différents types d'attaques visant les failles du code PHP
- Sécuriser le contenu des paramètres des requêtes HTTP
- Paramètre register_globals
- Remote et Local File Include
- La gestion des sessions
- Par les cookies
- Par les en-têtes
- Renouvellement de l'identifiant de session
- La conception et traitement des formulaires
- XSS
- CSRF
- Les uploads
- La protection du code SQL
- Les requêtes paramétrées
- Le spam
- Se prémunir contre :
- Les authentifications en force brute
- Les attaques par déni de service avec les quotas
- Le Phishing
- Travaux pratiques :
- Applications des contre-mesures aux différentes fonctionnalités de l'application
- Utilisation des mécanismes de PHP pour la sécurisation des formulaires, de l'accès aux données et du transfert de fichiers
Sécurisation de la plateforme (4 heures)
- Sécurisation des éléments logiciels vis-à-vis de l'OS
- Les groupes d'utilisateurs
- Les permissions sur les fichiers
- Sécurisation du serveur Web
- Le cas du serveur Apache
- Les paramètres d'initialisation de PHP
- Les différentes directives du fichier php.ini
- Les localisations de définition des directives
- Utilisation des directives PHP dans la configuration d'Apache
- Le cas de l'hébergement mutualisé
- Utilisation des directives PHP pour les hôtes virtuels
- Travaux pratiques :
- Création d'un hôte virtuel pour l'hébergement d'une application PHP
- Définition des paramètres de sécurisation des sessions, des fichiers transférés
Les bonnes pratiques (2 heures)
- Les patterns de programmation
- La gestion des mots de passe
- Fonctionnalités de cryptage disponible dans PHP
- Les frameworks
- La prise en charge des contre-mesures dans les librairies et frameworks PHP
- Travaux pratiques :
- Présentation de librairies et frameworks PHP et des leurs fonctionnalités natives pour la sécurisation des applications
Proposé par
ENI Service
"votre centre de formation informatique de confiance"
Proposé par
ENI Service
