Sécurité applicative Java
Public admis
- Salarié en Poste
- Demandeur d'emploi
- Entreprise
- Etudiant
Financements
Eligible CPF Votre OPCO Financement personnel
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Reconnaître les mécanismes de sécurité du JDK (Java Development Kit)
- Décrire les principales failles de sécurité applicative
- Distinguer la sécurité applicative de la sécurité système et réseau
- Mettre en oeuvre les principales stratégies de sécurité en Java
- Utiliser JCE (Java Cryptography Extension)
- Authentifier et autoriser l'accès aux composants Java EE
- Créer des tests visant à éprouver la sécurité des applications
- Formuler des exigences de sécurité aux autres corps de métiers.
| Tarif |
A partir de 2 010,00 € |
| Durée | 3 jours (21h00) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
| Tarif |
A partir de 2 010,00 € |
| Durée | 3 jours (21h00) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
Programme
Jour 1
Rappels sur la sécurité applicative
- Fonctionnement de la pile d'exécution
- L'analyse de code
- L'hijacking de ressources
- Les overflows
- Les protections lors de l'exécution
La sécurité des plateformes Java
- La sécurité de Java SE / ME / FX
- Le Java Class Loader
- Le Security Manager
- L'Access Controller
- Le Sandboxing
- Implémentation de la Default Policy
- La Policy File Syntax
- Contenu du Package java.security
Le chiffrement avec Java
- Rappel des bases du chiffrement
- Les fonctions de hash
- Les algorithmes symétriques type AES
- Les algorithmes asymétriques type RSA
- La librairie JCE (Java Cryptography Extension)
- La classe Cipher
- Générer des clés
- Générer des certificats
Exemples de travaux pratiques (à titre indicatif)
- Création d'un outil de chiffrement / déchiffrement symétrique
- Création d'un outil de vérification de l'intégrité de contenu d'un répertoire
Jour 2
La sécurité avec Java EE
- La sécurité de Java EE
- L'HTTPS avec JSSE (Java Secure Socket Extension)
- Gestion de l'authentification Web
- Exploitation des HTTP basic et HTTP form
- Utilisation du module JAAS (Java Authentication and Authorization Service)
- Utilisation du module LoginModule
- Définition des rôles et domaines
- Les fichiers .policy
- Créer des permissions avec Java Security Permission
- La protection des URL
- La protection des méthodes
- Les annotations de sécurité
- La sécurité programmatique de Java EE
Exemples de travaux pratiques (à titre indicatif)
- Mise en place d'une PKI
- Création d'un formulaire d'authentification
Tester les failles d'une application
- Anatomie d'une faille applicative
- Présentation de l'OWASP et de ses projets
- Les Security Cheat Sheets
- Le Top 10
- Les guides de l'OWASP (Test Guide, Dev Guide...)
- L'ASVS (Application Security Verification Standard)
- Les grandes familles de vulnérabilités
- Les CVE (Common Vulnerabilities and Exposures)
- Les CWE (Common Weakness Enumerations)
- Le scoring CVSS (Common Vulnerability Scoring System)
Exemples de travaux pratiques (à titre indicatif)
- Installation de WebGoat et ESAPI
- Estimation de la vunérabilité d'un produit commercial
Jour 3
Exemples de travaux pratiques (à titre indicatif) - Suite
- Exploitation :
- D'une injection d'entête HTTP
- D'une injection SQL
- D'une Cross-Site Scripting
- D'une Cross-Site Request Forgery
- D'une Server-Side Request Forgery
- D'un vol de session
- D'une désérialisation
- D'une référence directe à un objet
La sécurité du code externe
- Le cas des librairies
- Le cas des API
- La sécurité dans les API JDBC, JNDI, JTA, JMS et JCA
La sécurité des WebServices
- La sécurité des WebServices SOAP
- Utilisation de WS-Security avec WSS4J et XWSS
- Utilisation de WS-Policy
- La sécurité des WebServices REST
- Utilisation de JAX-RS
- Utilisation de OAuth 1.0 et 2.0
Mettre en place du Secure Code
- Durcir son application avec l'OWASP ASVS et l'OWASP Dev Guide
- Les bonnes pratiques de sécurisation du code
- La protection du bytecode
- Se protéger de la décompilation
- L'obfuscation du code
- Les descripteurs de déploiement XML
- L'authentification des conteneurs Web et EJB
- Les contrôles dynamiques
- Faire des tests et des validations
- Les tools des navigateurs
- La capture via proxy
- La capture via tcpdump ou Wireshark
- Les tests avec Postman
- Les vulnerability scanners
- Le DAST (Dynamic Application Security Testing)
- Le SAST (Static Application Security Testing)
- Sonatype Nexus
- Acunetix
- Contrast Security
- Filtrer les échanges
- Les WAF (Web Application Firewalls)
- Les IPS (Intrusion Prevention System) et les IDS (Intrusion Detection System)
- Limiter l'exposition
- Rôle des firewalls, proxies et DMZ
Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.
Modalités d’évaluation des acquis
- En cours de formation, par des études de cas ou des travaux pratiques
- Et, en fin de formation, par un questionnaire d'auto-évaluation
Prérequis
Public
Ces formations pourraient vous intéresser
Objectifs de la formation
- Maîtriser les fonctionnalités avancées du noyau et d'un serveur Linux
- Maîtriser les disques, les filesystems, RAID et LVM
- Gérer les paquetages, la sécurité et le noyau Linux
- Maîtriser la sauvegarde, restauration et Master
| Tarif |
A partir de 2 600,00 € |
| Durée |
4 jours |
| Modes |
|
Objectifs de la formation
- Connaitre la règlementation en matière d'électricité sur véhicules électriques (norme NF C 18-550)
- Savoir évoluer dans un environnement électrique
- Savoir rendre compte de l'opération réalisée
- Réaliser les opérations sur batteries (mise en place de protection, connexion, déconnexions, manipulations, contrôles, nettoyage)
- Appliquer les consignes de sécurité prévues par la norme NF C 18 550
| Tarif |
A partir de 1 390,00 € |
| Durée |
1j / 7h |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Décrire et utiliser les éléments, les stratégies et les outils du concept de sécurité SAP ABAP
- Gérer les comptes utilisateurs
- Créer des autorisations en utilisant le générateur de rôles.
| Tarif |
A partir de 2 460,00 € |
| Durée |
3j / 21h |
| Modes |
|
Windows Server 2016/2019 – Mise en oeuvre et gestion d’une infrastructure Active Directory
Proposé par ENI ServiceObjectifs de la formation
- Décrire les éléments d'une infrastructure Active Directory
- Installer et configurer les services de domaine Active Directory (AD DS)
- Gérer les objets dans Active Directory en graphique et en PowerShell
- Créer des stratégies de mot de passe affinées
- Gérer les sauvegardes Active Directory
- Créer et exploiter les stratégies de groupe (GPO) à des fins de sécurité et de personnalisation d'environnements Windows
- Mettre en œuvre et gérer une autorité de certification (AD CS) et les certificats associés
- Mettre en œuvre et gérer les services de fédération d'identité (AD FS)
- Mettre en œuvre et gérer les services de protections des documents/données (AD RMS)
| Tarif |
A partir de 2 950,00 € |
| Durée |
5j / 35h |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Mémoriser les bases du langage
- Reconnaître les différentes fonctionnalités de Kotlin
- Découvrir la librairie standard
- Prendre en main les différents outils disponibles.
| Tarif |
A partir de 1 680,00 € |
| Durée |
3j / 21h |
| Modes |
|
Objectifs de la formation
L'objectif de la formation est de sensibiliser les participants aux bonnes pratiques d'hygiène et de sécurité alimentaire, afin qu'ils puissent reconnaître, prévenir et gérer les risques de contamination.
| Tarif |
Contacter l'organisme |
| Durée |
2j / 14h |
| Modes |
|
Red Hat DevOps pipelines et processus – CI/CD avec Jenkins, Git, et Test Driven Development (TDD)
Proposé par ENI ServiceObjectifs de la formation
- Contrôler des versions avec Git
- Créer et exécuter des pipelines Jenkins
- Gérer des stratégies de lancement
- Créer des applications avec le développement par les tests
- Analyser la sécurité et le code des applications
- Surveiller des applications et des pipelines
- Utiliser des pipelines et résoudre des problèmes
| Tarif |
A partir de 3 600,00 € |
| Durée |
5j / 30h |
| Modes |
|
Objectifs de la formation
Concrètement, à l'issue de cette formation RabbitMQ vous aurez acquis les connaissances et les compétences nécessaires :
- Installer et configurer RabbitMQ
- Activer et utiliser des plugins comme la console de management web
- Implémenter des applications de messaging en Java
- Monter un cluster RabbitMQ
- Choisir une stratégie de haute disponibilité et la mettre en pratique
- Paramétrer et optimiser RabbitMQ pour obtenir de meilleures performances
- Sécuriser RabbitMQ
- Monitorer RabbitMQ
| Tarif |
A partir de 1 780,00 € |
| Durée |
3j / 21h |
| Modes |
|
Formation Administration Weblogic Oracle avec les outils de scripting (WLST et commandes en lignes)
Proposé par PLB CONSULTANTObjectifs de la formation
Weblogic serveur est sûrement le serveur Java EE 6 le plus complet. Pouvant s'exécuter dans un environnement classique, cloud ou cloud privé, il apporte tous les avantages du standard Java EE : scalabilité, sûreté de fonctionnement, gestion performante des ressources, connectivité. De plus, il offre de réelles facilités d'exploitation, de déploiement et de monitoring à travers ces outils d'administration. Cette formation Weblogic Oracle s'adresse aux personnes ayant eu une première approche de WLS et qui sont désireuses de mettre en place une exploitation rigoureuse. Elle se concentre principalement sur les outils d'administration basés sur les commandes en ligne et a pour vocation d'apporter les bonnes pratiques d'automatisation de l'exploitation d'un serveur Weblogic.
| Tarif |
A partir de 1 480,00 € |
| Durée |
2j / 14h |
| Modes |
|
Objectifs de la formation
- Améliorer la sécurité hybride via l'utilisation d'Azure Security Center, Azure Sentinel et la gestion des mises à jour Windows
- Déployer des stratégies de sécurité pour la protection des ressources essentielles
- Mettre en place des solutions de haute disponibilité et de reprise après sinistre
- Implémenter des services de récupération dans des contextes hybrides
- Concevoir et exécuter des plans de migration, de sauvegarde et de récupération pour des environnements hybrides etcloud
- Réaliser des mises à niveau et des migrations concernant AD DS (Active Directory Domain Services) et les solutions de stockage
- Administrer et monitorer les environnements hybrides avec des outils tels que WAC (Windows Admin Center), Azure Arc, Azure Automation, et Azure Monitor
- Assurer la surveillance des services et des performances, en y intégrant des pratiques de dépannage
| Tarif |
A partir de 2 600,00 € |
| Durée |
4 jours |
| Modes |
|
