Formation Développer des applications Windows sécurisées


  • SÉCURISATION DU DÉVELOPPEMENT SOUS WINDOWS
REFERENCE
 
 
DSDW
DUREE
 
 
3 jours
TARIFS
 
 
En Intra
Niveau : Expert
Cours à distance: Possible
OBJECTIFS :
 
« Une chaîne est aussi solide que son maillon le plus faible ! ». Ce vieil adage est particulièrement vrai en informatique où la plupart des responsables sécurité l’intègre au niveau de leur infrastructure système et réseau mais l’oublie souvent au niveau de la sécurité applicative. Les applications sont maintenant ouvertes au monde et les vecteurs d'attaques ont été démultipliés. L'exploitation de ces intrusions est même devenu un paramètre économique important. Intégrer quelques bonnes "bonnes pratiques" n'améliore que marginalement la sécurité d'un produit. Il est indispensable de construire une solution autour d'une équipe qui a été sensibilisée à la question de la sécurisation des développements. Cette formation se propose d'initier les différents membres d'une équipe de développement sur la sécurisation du code et sur les processus de développements sécurisés. Dans un premier temps vous apprenez à décomposer votre application en composants, afin de modéliser les menaces et apporter des solutions techniques génériques d’atténuation. Il est important de comprendre que cette modélisation est indépendante du langage utilisé. Ensuite, une journée très technique est consacrée à l'exploitation de failles de type "Buffer Overrun" afin de vous sensibiliser sur les risques liés à ce type d'erreurs de robustesse de code et comprendre les parades mises en place par Microsoft et vous-même. La dernière partie vous rend autonome dans les techniques de programmation sécurisée sur les différents thèmes abordés lors de la modélisation des menaces. Le cours vous apprend comment construire un produit sécurisé sur un environnement Microsoft Windows, de la mise en place des processus de gestion de projet, en passant par la modélisation jusqu'à la mise en production. Au-delà des aspects conceptuels, vous apprenez donc sous un angle très technique comment reconnaître une faille, comment l'exploiter et comment s'en prémunir. Chaque concept est présenté sous l’angle fonctionnel « Comment ça marche ? » puis développé sous l’angle de la sécurité. Il vous sera alors naturel de mettre en œuvre les bon processus dans vos développements.
PRÉ-REQUIS :
 

Savoir développer dans un environnement Microsoft. Connaître Windows et ses APIs

PUBLIC :
 
Ce stage s'adresse aux Chef de projet (avec passé de développeur), aux Responsables technique ainsi qu'aux Développeurs.
PROGRAMME :
 

Qu’est-ce que la sécurisation du code ?

Contexte
Intégrer la sécurisation dans les processus de développement
Principes généraux

Modélisation des menaces

Décomposer une application
Déterminer les menaces d'une application
Noter et classer les menaces
Répondre aux menaces

Exploitation de « Buffer overrun »

Initiation à l'exploitation Principe général
Écrasement de l'adresse de retour
Exploitation des exceptions Win32
Sécurisation Options de compilation (Stack cookies, DEP, ALSR, etc.)
Différences entre Windows 32 bits et Windows 64 bits

Techniques de programmation sécurisée :

Ne pas faire confiances aux données d'entrée
S'exécuter avec les droits minimum
Les pièges du chiffrement
Déterminer les bons ACLs
Protéger les données sensibles
Se protéger des attaques par déni de service
Éviter d'utiliser des APIs non sécurisées
Bonnes pratiques la synthèse

TRAVAUX PRATIQUES :
 
Différents TP sont mis en place afin de vous aider à mieux assimiler la théorie: - Modélisation des menaces, et mise en place de contremesures sur un projet concret (les cas de figures restent ouverts à ceux des participants) - Exploitation d'un "Buffer Overrun" par écrasement de l'adresse de retour. - Exploitation d'un "Buffer Overrun" par écrasement de la chaîne d'exceptions. - Revue de code - Protection contre une attaque par déni de service.
EN INTRA SEULEMENT
FORMATION SÉCURITÉ DÉVELOPPEMENT WINDOWS
Contactez-nous pour obtenir les prochaines disponibilités de nos consultants formateurs
S’inscrire à la formation
CETTE FORMATION SUR-MESURE Ce cours est réalisable en intra-entreprise, dans vos locaux ou nos salles de cours CONTACTER NOTRE SERVICE INTRA
D'autres formations
SUR LE MÊME THÈME

2 j

 
Ce séminaire dresse un panorama complet des menaces du Web. Il détaille aussi bien les types d'attaques que peut subir une application web que les failles les plus courantes des...

3 j

 
Le langage Java contient intrinsèquement de nombreux mécanismes permettant l'élaboration de programmes sûrs. Ces mécanismes couvrent différentes...

4 j

 

Sécurité

PHP Sécurité
De par sa nature même, le service dynamique de pages web ouvre de nombreuses portes sur le monde extérieur. Pour le développeur, il est primordial de prendre conscience des...

1 j

 
La sécurité informatique est devenue un enjeu technique et économique primordial. Cette formation Secure Coding C C++ a pour objectif de sensibiliser les développeurs...
Plus de formations sur le même thème

Des questions ?

ON VOUS RAPPELLE

 

0

Formations
Informatique
et Management
en ligne à ce jour

+ 0

Stagiaires dans nos
salles de cours sur
l'année

0%

De participants
satisfaits ou très
satisfaits de nos
formations

0

Formateurs experts
validés PLB