- Référence : IPHS
- Durée : 3 jours (21h)
- Lieu : Au choix. À distance ou en présentiel, à Paris ou en Régions
1990€ HT
Choisir une date et RéserverVous pouvez suivre cette formation en direct depuis votre domicile ou votre lieu de travail. Plus d'informations sur notre solution de classe à distance...
De par sa nature même, le service dynamique de pages web ouvre de nombreuses portes sur le monde extérieur. Pour le développeur, il est primordial de prendre conscience des types d'attaques auxquelles son code sera potentiellement exposé. Cette formation PHP Sécurité se concentre sur le point de vue du développeur, les aspects "sécurisation serveur" étant abordés dans les cours d'administration. Une approche pratique basée sur des sessions de hacking éthique.
Objectif opérationnel :
Savoir sécuriser PHP avec de bons réglages.
Objectifs pédagogiques :
A l'issue de cette formation PHP Sécurité vous aurez acquis les connaissances et compétences nécessaires pour :
Public :
Cette formation s'adresse aux développeurs PHP ayant déjà une bonne pratique du langage et désirant développer des applications sécurisées.
Prérequis :
Les participants doivent bien connaître la programmation sous PHP / Sql et avoir de bonnes notions de programmation Client (JavaScript).
Les Risques
Destruction de données
Détournement de site
Publication de données confidentielles
Abus de ressources
Vol d'identité
Plan Sécurité
Conception, Développement et Maintenance
XSS
Principe et méthodes de protection
Moteur de recherche
Atelier
Mise en oeuvre et contrage d'une injection sur le site BDPhilia
CSRF
Principe et contre-mesures
Virus en base de données
Atelier
Mise en oeuvre d'une propagation sur le forum BDPhilia
Les failles
Validation et limitations de l'approche JavaScript HTML5
Cookies de contrôle
Chaînage, attaques HTTP et Ajax
Contre-mesures
Token
Validation des entrées
Tests et principe des listes
Expressions régulières, standards et filtres
Upload de fichier
Api File
Contrôle des fichiers chargés
Failles et contre-mesures
Atelier
Exécution maligne d'un fichier téléchargé via le backoffice de BDPhilia
Cookies
Principes et risques
Manipulation JavaScript
Tableaux de cookies
Sessions
Mode Cookie vs. Header
Principe du vol de session
PHP.ini
Directives sensibles, sessions et erreurs
Protéger les scripts
Protection physique
Exécution de scripts distants ou à la volée
Atelier
Réglage des options sensibles. Discussion sur les conséquences au niveau développement.
Failles potentielles
Risques : données et administration
Stockage
Injections SQL
Principe et contre-mesure
Requête préparée
Procédures stockées et requêtes paramétrées
Limites
Fichiers d'accès
Organisation et valeurs par défaut
Accès anonymes et protocoles
Atelier
Réécrire ses requêtes sql en les protégeant
Ecriture Heredoc
Scope des variables et constantes
Heritage
MVC
Travailler avec des Méthodes et Class protégées
Se protéger contre le SPAM
Lire et écrire des fichiers XML
Lire et écrire des fichiers JSON
Les Webservices
Les Webservices securisées
Deserialisation dans des classSpam via un formulaire de contact : Injections et contre-mesures
Atelier
Utiliser un formulaire de contact pour envoyer un mail à 3 adresses différentes
Accès réseau par PHP
Appels séquentiels et récursifs
Attaque furtive
Atelier
Soumettre une url détournée PHP_SELF
DoS
Quotas et gestion des charges
Atelier
Test DDOS
Mots de passe
Renforcement et stockage
Création et rappel
Atelier
Projet de Recap
Chiffrement et Signature
Cryptage / décryptage : Implémentation PHP et MySql
Atelier
Cryptage des données client
Ruses de Sioux (Protection)
Pot de Miel, Obfuscation et Turing inversé
Atelier
Créer un pot de miel pour l'admin du BO, obfusquer les formulaires de recherche en MD5 et appliquer un test de Turing inversé sur le formulaire de contact
Frameworks et briques logicielles
Gestion de la sécurité dans les développements composites
Sur des frameworks PHP (Symphony Laravel…)
Audit de Sécurité
Méthodologie de base, Cross-test et Rapport d'Audit
Atelier
Rédiger un rapport d'audit sur la version de base de BDPhilia et sur les mesures prises pour améliorer la situation.
Des machines équipées de serveurs Apache avec différentes versions de PHP (5 à 7), MySql, Oracle, LDAP et mails sont mises à la disposition des participants.
Cette formation vous prépare au passage de la certification "AVIT by ENI - Développement de sites web dynamiques " (PHP) qui démontre votre compétence à développer un site web dynamique accédant à une base de données dans le respect des bonnes pratiques du développement web.
L’examen de certification se passe en ligne sous forme d’un QCM d’une durée d’1h15. Le résultat s’affiche selon un score de 1000 points. Un score supérieur à 600 indique que les compétences sont acquises.
La certification n’est pas obligatoire. L’inscription à l’examen n’est pas incluse dans le prix de la formation.
Les avis figurant ci-dessous sont issus des fiches d’évaluation que remplissent les participants à la fin de la formation. Ils sont ensuite publiés automatiquement si les personnes ont explicitement accepté que nous les diffusions.
Mon avis sur le contenu du stage :
"Formation complete de check de vulnerabilités dev informatiques, compléte, bonne rafraishisment des connaissances déjà acquis. Des aspects plus complexes seront corrects, vu le niveau des participants a la réunion."
Mon avis sur le formateur :
"Animateur compétent avec un bon niveau tecnique et qui reponds bien aux questions, quelques petits prob avec la machine et les supports technique mais rien de genant. "
Ce que j'ai le plus apprécié :
"Support technique clair pour la formation a distance."
Ce que j'ai le moins apprécié :
"App MS Teams"
Mon avis sur le formateur :
"Animateur très sympathique.
Il serait peut être intéressant d'illustrer les failles avec encore plus d'exemples d'"attaques". Nous nous plaçons surtout dans un rôle de défenseur mais pas d'attaquant. Peut-être en essayant à la fin du stage de "hacker" les sites des autres stagiaires de la formation pour vérifier si leurs sites sont protégés contre les failles étudiées pendant les 3 jours."
Ce que j'ai le plus apprécié :
"Formation en intra-entreprise en petit comité (5 personnes), ce qui laisse le temps de bien échanger."
Mon avis sur le formateur :
"Très bien. Il n'y a pas seulement un cours il y a aussi de la pratique. Cette formation est utile."
Ce que j'ai le plus apprécié :
"Tout est mis à disposition."
Ce que j'ai le moins apprécié :
"La distance car un peu compliqué avec la pratique."
Mon avis sur le contenu du stage :
"Contenu pertinent qui sera mis en application dans nos futurs web app"
Mon avis sur le formateur :
"Xavier est très agréable, pédagogique et compétent! Formation très pertinente et instructive!"
Mon avis sur la salle de formation :
"Formation intra ;)"
Mon avis sur le formateur :
"Très sympa !"
Ce que j'ai le plus apprécié :
"Très beaux locaux"
Formations Informatique
et Management
en ligne à ce jour
+
Stagiaires dans nos salles
de cours sur
l'année
%
De participants satisfaits
ou très satisfaits de nos
formations
Formateurs experts
validés par
PLB