Sécurité applicative Java
Public admis
- Salarié en Poste
- Demandeur d'emploi
- Entreprise
- Etudiant
Financements
Eligible CPF Votre OPCO Financement personnel
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Reconnaître les mécanismes de sécurité du JDK (Java Development Kit)
- Décrire les principales failles de sécurité applicative
- Distinguer la sécurité applicative de la sécurité système et réseau
- Mettre en oeuvre les principales stratégies de sécurité en Java
- Utiliser JCE (Java Cryptography Extension)
- Authentifier et autoriser l'accès aux composants Java EE
- Créer des tests visant à éprouver la sécurité des applications
- Formuler des exigences de sécurité aux autres corps de métiers.
| Tarif |
A partir de 2 010,00 € |
| Durée | 3 jours (21h00) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
| Tarif |
A partir de 2 010,00 € |
| Durée | 3 jours (21h00) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
Programme
Jour 1
Rappels sur la sécurité applicative
- Fonctionnement de la pile d'exécution
- L'analyse de code
- L'hijacking de ressources
- Les overflows
- Les protections lors de l'exécution
La sécurité des plateformes Java
- La sécurité de Java SE / ME / FX
- Le Java Class Loader
- Le Security Manager
- L'Access Controller
- Le Sandboxing
- Implémentation de la Default Policy
- La Policy File Syntax
- Contenu du Package java.security
Le chiffrement avec Java
- Rappel des bases du chiffrement
- Les fonctions de hash
- Les algorithmes symétriques type AES
- Les algorithmes asymétriques type RSA
- La librairie JCE (Java Cryptography Extension)
- La classe Cipher
- Générer des clés
- Générer des certificats
Exemples de travaux pratiques (à titre indicatif)
- Création d'un outil de chiffrement / déchiffrement symétrique
- Création d'un outil de vérification de l'intégrité de contenu d'un répertoire
Jour 2
La sécurité avec Java EE
- La sécurité de Java EE
- L'HTTPS avec JSSE (Java Secure Socket Extension)
- Gestion de l'authentification Web
- Exploitation des HTTP basic et HTTP form
- Utilisation du module JAAS (Java Authentication and Authorization Service)
- Utilisation du module LoginModule
- Définition des rôles et domaines
- Les fichiers .policy
- Créer des permissions avec Java Security Permission
- La protection des URL
- La protection des méthodes
- Les annotations de sécurité
- La sécurité programmatique de Java EE
Exemples de travaux pratiques (à titre indicatif)
- Mise en place d'une PKI
- Création d'un formulaire d'authentification
Tester les failles d'une application
- Anatomie d'une faille applicative
- Présentation de l'OWASP et de ses projets
- Les Security Cheat Sheets
- Le Top 10
- Les guides de l'OWASP (Test Guide, Dev Guide...)
- L'ASVS (Application Security Verification Standard)
- Les grandes familles de vulnérabilités
- Les CVE (Common Vulnerabilities and Exposures)
- Les CWE (Common Weakness Enumerations)
- Le scoring CVSS (Common Vulnerability Scoring System)
Exemples de travaux pratiques (à titre indicatif)
- Installation de WebGoat et ESAPI
- Estimation de la vunérabilité d'un produit commercial
Jour 3
Exemples de travaux pratiques (à titre indicatif) - Suite
- Exploitation :
- D'une injection d'entête HTTP
- D'une injection SQL
- D'une Cross-Site Scripting
- D'une Cross-Site Request Forgery
- D'une Server-Side Request Forgery
- D'un vol de session
- D'une désérialisation
- D'une référence directe à un objet
La sécurité du code externe
- Le cas des librairies
- Le cas des API
- La sécurité dans les API JDBC, JNDI, JTA, JMS et JCA
La sécurité des WebServices
- La sécurité des WebServices SOAP
- Utilisation de WS-Security avec WSS4J et XWSS
- Utilisation de WS-Policy
- La sécurité des WebServices REST
- Utilisation de JAX-RS
- Utilisation de OAuth 1.0 et 2.0
Mettre en place du Secure Code
- Durcir son application avec l'OWASP ASVS et l'OWASP Dev Guide
- Les bonnes pratiques de sécurisation du code
- La protection du bytecode
- Se protéger de la décompilation
- L'obfuscation du code
- Les descripteurs de déploiement XML
- L'authentification des conteneurs Web et EJB
- Les contrôles dynamiques
- Faire des tests et des validations
- Les tools des navigateurs
- La capture via proxy
- La capture via tcpdump ou Wireshark
- Les tests avec Postman
- Les vulnerability scanners
- Le DAST (Dynamic Application Security Testing)
- Le SAST (Static Application Security Testing)
- Sonatype Nexus
- Acunetix
- Contrast Security
- Filtrer les échanges
- Les WAF (Web Application Firewalls)
- Les IPS (Intrusion Prevention System) et les IDS (Intrusion Detection System)
- Limiter l'exposition
- Rôle des firewalls, proxies et DMZ
Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.
Modalités d’évaluation des acquis
- En cours de formation, par des études de cas ou des travaux pratiques
- Et, en fin de formation, par un questionnaire d'auto-évaluation
Prérequis
Public
Ces formations pourraient vous intéresser
Objectifs de la formation
- Pendant la formation, le formateur évalue la progression pédagogique des participants via des QCM, des mises en situation et des travaux pratiques. Les participants passent un test de positionnement avant et après la formation pour valider leurs compétences acquises.
| Tarif |
Contacter l'organisme |
| Durée |
4 jours (28 heures) |
| Modes |
|
Objectifs de la formation
- Maîtriser les risques pesant sur les Systèmes d'Information
- Comprendre la gouvernance d'entreprise et la gouvernance du SI
- Maîtriser le Risk Management
- Gérer les risques SI
- Etablir une cartographie des risques
- Maîtriser les méthodes EBIOS et MEHARI
- Comprendre l'implication des utilisateurs dans la sécurité du SI
| Tarif |
A partir de 1 300,00 € |
| Durée |
2 jours |
| Modes |
|
Objectifs de la formation
- Définir une architecture basée sur les microservices
- Développer et consommer des services REST
- Créer des microservices en Java avec Spring Boot
- Utiliser les modules Spring Cloud
| Tarif |
A partir de 1 300,00 € |
| Durée |
2 jours |
| Modes |
|
Objectifs de la formation
Gérer efficacement la persistance de données - Maîtriser les mécanismes de JPA - Utilisation de TopLink dans une application JEE| Tarif |
A partir de 1 995,00 € |
| Durée |
3j / 21h |
| Modes |
|
Formation CISSP (Certified Information Systems Security Professional), avec certification
Proposé par SparksObjectifs de la formation
- Acquérir une vision globale des enjeux et aspects de la sécurité IT
- Comprendre les thèmes, domaines et rubriques du Common Body ok Knowledge (CBK®)
- Être en mesure d'optimiser les opérations de sécurité d'une organisation
- Se préparer et passer l'examen de certification CISSP de l'ISC²
| Tarif |
A partir de 4 000,00 € |
| Durée |
5 jours |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Identifier les principes fondamentaux de Rust
- Ecrire du code Rust propre en suivant les conventions de codage recommandées
- Utiliser les concepts de base tels que les types de données, les variables, les fonctions et les structures de contrôle
- Démontrer une compréhension approfondie des propriétés de sécurité de Rust
- Explorer les fonctionnalités avancées de Rust
- Utiliser les bibliothèques et les frameworks populaires de Rust pour développer des applications et des projets concrets
- Concevoir, mettre en oeuvre et déployer une application Blockchain fonctionnelle
- Pratiquer le débogage et le test de code Rust.
| Tarif |
A partir de 2 850,00 € |
| Durée |
3j / 21h |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Décrire tous les concepts importants de Symfony
- Mettre en oeuvre, de l'installation à l'affichage, vos premières pages Web dynamiques avec Twig, en passant par les formulaires, la sécurité et le cache HTTP
- Utiliser et gérer tous les outils majeurs de Symfony afin de devenir entièrement autonome avec le framework.
| Tarif |
A partir de 2 490,00 € |
| Durée |
5j / 35h |
| Modes |
|
Formation Express ChatGPT pour Dirigeants : les essentiels de l'IA pour le leadership
Proposé par AlmeraObjectifs de la formation
- Comprendre les fondamentaux de ChatGPT et son potentiel pour le leadership
- Maîtriser l'utilisation basique de ChatGPT pour améliorer la productivité
- Identifier les opportunités d'intégration de ChatGPT dans la stratégie d'entreprise
- Appréhender les enjeux de sécurité liés à l'utilisation de l'IA
| Tarif |
A partir de 600,00 € |
| Durée |
1j / 3h |
| Modes |
|
Objectifs de la formation
Apprendre à installer et à administrer Windows Server - Gérer les utilisateurs - Découvrir NTFS - Configurer une imprimante réseau - Gérer la sécurité de Windows Server - Protéger et surveiller son serveur - Installer et configuer Terminal Server| Tarif |
A partir de 1 375,00 € |
| Durée |
3j / 21h |
| Modes |
|
Objectifs de la formation
- Déployer et gérer Exchange Server 2016/2019
- Créer et gérer les destinataires Exchange Server 2016/2019
- Utiliser Exchange Management Shell pour la gestion des destinataires et des serveurs
- Configurer la connectivité des clients
- Implémenter et gérer une solution de haute disponibilité
- Mettre en œuvre la sauvegarde et une solution de reprise après sinistre
- Configurer les options de transport de messages
- Configurer les options de sécurité des messages
- Mettre en œuvre des déploiements Exchange Online
- Surveiller et dépanner Exchange Server 2016/2019
| Tarif |
Contacter l'organisme |
| Durée |
5j / 35h |
| Modes |
|
