Sécurité applicative avec PHP
Public admis
- Salarié en Poste
- Demandeur d'emploi
- Entreprise
- Etudiant
Financements
Eligible CPF Votre OPCO Financement personnel
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Sécuriser un code PHP ou une interface avec du PHP
- Créer des tests visant à éprouver la sécurité des applications Web, notamment sous PHP
- Analyser et organiser la sécurité d'une application Web développée en PHP
- Formuler des exigences de sécurité aux autres corps de métiers.
| Tarif |
A partir de 2 010,00 € |
| Durée | 3 jours (21h00) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
| Tarif |
A partir de 2 010,00 € |
| Durée | 3 jours (21h00) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
Programme
Jour 1
Introduction
- Panorama de la sécurité Web
- Les normes et lois
- Les référentiels
- Les principaux groupes de réflexion et de travail sur la sécurité des applications Web
- L'évolution du langage PHP, des technologies et des usages du Web
- L'apport du Full Stack
Protocole HTTP avec PHP
- Rappels des fondamentaux sur les protocoles HTTP et HTTP/2
- La pile applicative
- Les méthodes
- Les codes erreurs
- Les principaux champs liés à la sécurité
- Le fonctionnement d'AJAX
- Architecture des applications Web (monolithe, N-tiers, SOA / ROA...)
- Le cas des API
- Le header HTTP et la fonction header()
- Le retour de requête via http_response_code()
- Les méthodes HTTP via le module cURL pour PHP
Exemple de travaux pratiques (à titre indicatif)
- Création d'une requête GET et d'une requête POST en PHP avec cURL
Les outils connexes
- Faire des tests et des validations
- Les tools des navigateurs
- La capture via proxy
- La capture via tcpdump ou Wireshark
- Les tests avec Postman
- Les "vulnerability scanners"
- Burp Suite
- Acunetix
- Les outils spécialisés CMS
- Les sites Web d'analyse
L'OWASP
- Présentation de l'OWASP et de ses projets
- Le PHP Security Cheat Sheet
- Le Top 10
- Le Top 25 du SANS
- Les Google Dorks
- Les guides de l'OWASP (Test Guide, Dev Guide...)
- L'ASVS (Application Security Verification Standard)
- Rappel des recommandations
- Sur le logging et le monitoring
- En termes de suivi des vulnérabilités
- Les grandes familles d'attaques
- Broken Access Control
- Cryptographic Failures
- Injection
- Insecure Design
- Security Misconfiguration
- Vulnerable and Outdated Components
- Identification and Authentication Failures
- Software and Data Integrity Failures
- Security Logging and Monitoring Failures
- Server-Side Request Forgery
Jour 2
Exemples de travaux pratiques (à titre indicatif)
- Exploitation
- D'une injection d'entête HTTP
- D'une injection SQL
- D'une Cross-Site Scripting
- D'une Cross-Site Request Forgery
- D'une Server-Side Request Forgery
- D'un vol de session
- D'une désérialisation
- D'une vulnérabilité dans un produit Open Source (WordPress, Joomla, Drupal, Magento...)
- Démonstration de la rétro-ingénierie sur une plateforme souffrant de "misconfiguration"
- Exploitation d'une faille LFI et RFI
- Analyse automatisée via des "vulnerability scanners" (WPScan, Nikto, OpenVas, Nmap) et framework offensif (Metasploit)
- Réalisation et exécution d'un "stress test" d'une application Web
La sécurité du code externe
- Le cas des librairies
- Le "pruning"
Jour 3
Les bonnes pratiques pour le renforcement de la sécurité du code
- Les forces et les faiblesses du langage PHP
- La validation des entrées
- La sécurisation de l'authentification
- L'authentification multifactorielle et par challenge
- La gestion des mots de passe (création, stockage et vérification)
- La gestion des sessions
- La gestion des droits et du contrôle d'accès
- La norme RBAC (Role-Based Access Control) appliquée aux applications Web
- L'encodage des sorties
- Le cas des downloaders et uploaders
- La gestion des CSRF (Cross-Site Request Forgery)
- La gestion du logging et du monitoring serveur et applicatif
Exemples de travaux pratiques (à titre indicatif)
- Création d'un portail d'authentification sécurisé en PHP
- Création d'un downloader sécurisé
- Analyse de code statique et dynamique avec RIPS ou Jira
Le renforcement de la sécurité côté client et serveur
- La sécurité du système d'exploitation
- L'installation
- Les règles obligatoires pour le firewall
- Les antivirus
- Les IPS (Intrusion Prevention System) et IDS (Intrusion Detection System)
- Le logging et le monitoring
- La surveillance de l'intégrité
- Les tâches de maintenance
- La sécurité du serveur Web
- Les réglages de base
- Les modules complémentaires
- La limitation des droits
- La gestion des logs
- Le langage PHP et HTML
- Le fichier php.ini
- Les fonctions phpinfo() et PHPSecInfo
- La Content Security Policy
- L'utilisation de SOP / CORS
- La confidentialité et l'intégrité
- Le chiffrement SSL/TLS
- Les certificats
Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.
Modalités d’évaluation des acquis
- En cours de formation, par des études de cas ou des travaux pratiques
- Et, en fin de formation, par un questionnaire d'auto-évaluation
Prérequis
Public
Ces formations pourraient vous intéresser
Objectifs de la formation
- Acquérir une compréhension approfondie des principes de base en gestion des incidents de sécurité de l'information, essentiels pour la mise en œuvre efficace des stratégies de réponse aux incidents
- Appréhender les liens et interactions entre la norme ISO/IEC 27035 et d'autres normes et cadres réglementaires, pour assurer une conformité optimale et une intégration harmonieuse des politiques de sécurité
- Comprendre l'approche basée sur les processus pour gérer les incidents de sécurité de l'information de manière systématique et efficace, afin de minimiser les impacts et de garantir la continuité des opérations
| Tarif |
A partir de 1 900,00 € |
| Durée |
2 jours |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Décrire les concepts-clés relatifs à l'importance d'assurer la sécurité des informations et des données, d'assurer votre sécurité physique, d'éviter le vol de données personnelles et de protéger votre vie privée
- Protéger un ordinateur, un dispositif numérique mobile, un réseau contre les logiciels malveillants (malware) et les accès non-autorisés
- Décrire les différents types de réseaux, de connexions et les composants spécifiques tel que le pare-feu (firewall) qui peuvent poser problème lors des connexions
- Naviguer sur le World Wide Web et communiquer en toute sécurité sur Internet
- Identifier les problèmes de sécurité liés à la communication, notamment en matière de courrier électronique et de messagerie instantanée (MI - IM / Instant Messaging)
- Sauvegarder et restaurer des données de manière appropriée et sécurisée, entreposer vos données et vos dispositifs numériques mobiles en toute sécurité.
| Tarif |
A partir de 620,00 € |
| Durée |
1j / 7h |
| Modes |
|
Objectifs de la formation
- Installer le serveur Web Apache sur différents systèmes d'exploitation.
- Configurer le mode de fonctionnement d'Apache selon le système d'exploitation pour optimiser les performances.
- Organiser la configuration dans les différents fichiers.
- Réaliser la configuration de base d'Apache pour l'hébergement d'un site, et mettre en place une stratégie de délégation des tâches d'administration avec les fichiers .htaccess.
- Configurer la journalisation des accès et des messages du serveur.
- Gérer les permissions d'accès aux répertoires dans une démarche de sécurité optimale.
- Mettre en place une stratégie de restriction d'accès par machine et par authentification utilisateur.
- Gérer l'hébergement de multiples sites par la mise en place des hôtes virtuels.
- Sécuriser les échanges entre les navigateurs et le serveur avec HTTPS.
| Tarif |
Contacter l'organisme |
| Durée |
3j / 21h |
| Modes |
|
Objectifs de la formation
À l'issue de cette formation SRE Foundation vous aurez acquis les connaissances et les compétences nécessaires pour :
- Les rapports entre le SRE, DevOps et les frameworks ;
- Les objectifs de niveau de service (SLO) et leur orientation vers l'utilisateur ;
- Les indicateurs de niveau de service (SLI) et le paysage moderne de la surveillance ;
- Les outils SRE, les techniques d'automatisation et l'importance de la sécurité ;
- Se préparer à la certification « Site Reliability Engineer Foundation (SRE) ».
| Tarif |
A partir de 2 410,00 € |
| Durée |
3j / 21h |
| Modes |
|
Objectifs de la formation
À l'issue de cette formation Oracle 12 Prise de main, vous aurez acquis les connaissances et compétences nécessaires :
- Créer des applications Oracle 12c solides et évolutives
- Écrire des instructions de manipulation de données efficaces avec SQL Developer
- Garantir l'intégrité des données, établir la sécurité et optimiser les performances
- Développer des procédures stockées, des déclencheurs et des packages avec la langage PL/SQL
| Tarif |
A partir de 2 770,00 € |
| Durée |
5j / 35h |
| Modes |
|
Objectifs de la formation
- Connaître les missions du référent Santé Sécurité au Travail
- Rechercher le cadre réglementaire
- Identifier les acteurs sur lesquels s'appuyer
- Expliquer la démarche d'évaluation des risques
| Tarif |
A partir de 1 390,00 € |
| Durée |
2j / 14h |
| Modes |
|
Objectifs de la formation
- Evaluer la couverture des salariés aux différents risques : maladie, maternité, invalidité, AT/MP, décès, vieillesse et perte d'emploi.
- Différencier les différentes prestations de Sécurité sociale : maladie, accident de travail, maternité.
- Relier les prestations servies par l'assurance maladie avec la protection sociale complémentaire d'entreprise.
- Définir les différents niveaux de retraite dans le secteur privé (base, complémentaire et supplémentaire).
| Tarif |
A partir de 1 725,00 € |
| Durée |
2 jours |
| Modes |
|
Objectifs de la formation
- Connaître les exigences de la norme ISO 45001 et son apport pour consolider les démarches sécurité au sein d’un laboratoire
- Implanter le référentiel au sein du système de management du laboratoire
| Tarif |
A partir de 1 160,00 € |
| Durée |
2j / 14h |
| Modes |
|
Objectifs de la formation
À l'issue de cette formation ISO 27001 Foundation, vous aurez acquis les connaissances et compétences nécessaires pour :
- Comprendre les éléments et le fonctionnement d’un Système de management de la sécurité de l'information
- Comprendre la corrélation entre la norme ISO/CEI 27001 et ISO/CEI 27002 ainsi qu’avec d’autres normes et cadres règlementaires
- Connaître les approches, les méthodes et les techniques permettant de mettre en œuvre et de gérer un Système de management de la sécurité de l'information
| Tarif |
A partir de 1 900,00 € |
| Durée |
2j / 14h |
| Modes |
|
CEFRI Option RN (Réacteur Nucléaire) - Savoir Commun du Nucléaire et Complément Sureté Qualité - Recyclage - Niveau 1 (SCN1/CSQ)
Proposé par APAVE EXPLOITATION FRANCEObjectifs de la formation
Les objectifs de la formation CEFRI Option RN (Réacteur Nucléaire) - Savoir Commun du Nucléaire et Complément Sureté Qualité - Recyclage - Niveau 1 (SCN1/CSQ) :
- Appliquer les règles spécifiques aux interventions sur des EIPS relatives à la sûreté nucléaire - Appliquer les règles de base spécifiques à l’exploitant relatives à la sûreté nucléaire (y compris les PFI) et à l’assurance qualité - Appliquer les règles de base spécifiques à l’exploitant relatives à la sécurité conventionnelle - Appliquer les règles de base de l’exploitant relatives à l’environnement - Appliquer les règles de base de l’exploitant relatives à l’incendie
| Tarif |
Contacter l'organisme |
| Durée |
3j / 21h |
| Modes |
|
