- Référence : SDNE
- Durée : 3 jours (21h)
- Lieu : Au choix. À distance ou en présentiel, à Paris ou en Régions
2010€ HT
Choisir une date et RéserverFormation Sécurité des applications .NET
Utilisez les fonctionnalités du framework .Net pour développer une application sécurisée
Durée
3 jours
Niveau
Intermédiaire
Classe à distance
Possible
Vous pouvez suivre cette formation en direct depuis votre domicile ou votre lieu de travail. Plus d'informations sur notre solution de classe à distance...
Référence
SDNE
Éligible CPF
Non
Le Framework .NET intègre des fonctionnalités de sécurité très évoluées, qui s'appliquent aussi bien aux applications distribuées, qu'aux applications Web ASP.NET ou aux applications de bureau Windows. L'écriture d'un code sécurisé, l'utilisation d'un certificat, le chiffrement de données sont autant de challenges que le bon développeur .Net doit relever.
Cette formation Sécurité des applications .NET vous permet de comprendre les différentes problématiques de sécurité des applications Web, de connaître les meilleures pratiques pour écrire un code de qualité. Vous connaîtrez également les principales attaques Web afin de pouvoir les anticiper.
Objectif opérationnel :
Savoir maîtriser la sécurité des applications Web.
Objectifs pédagogiques :
Cette formation Sécurité des applications .NET vous donne les connaissances et compétences nécessaires pour :
- Reconnaître les mécanismes de sécurité de .NET
- Expliquer les principales failles de sécurité applicative
- Mettre en oeuvre le Code Access Security et le Role Based Security
- Sécuriser des "Assemblys"
- Authentifier et autoriser l'accès aux applications ASP.NET
- Chiffrer des données avec le framework .NET
- Créer des tests visant à éprouver la sécurité des applications
- Formuler des exigences de sécurité aux autres corps de métiers
Public :
Cette formation Sécurité .NET s'adresse aux chefs de projet informatique et aux développeurs .NET avec une bonne expérience.
Prérequis :
Connaissance du développement Web /.NET et maîtriser un langage de programmation (C#, Java ou C++).
Jour 1
L'analyse de code
L'hijacking de ressources
Les overflows
Les protections lors de l'exécution
Le Sandboxing
L'attribut APTCA (Allow Partially Trusted Callers Attribute)
Les fonctions de hash
Les algorithmes symétriques type AES
Les algorithmes asymétriques RSA
Windows Data Protection et File. Encrypt
Générer des clés
Générer des certificats
La classe FormsAuthenticationModule
Le protocole IWA (Integrated Windows Authentication)
La méthode Application_AuthenticateRequest
Le contrôle des rôles et permissions
La classe UrlAuthorizationModule
Les "security attributes"Exemple de travaux pratiques (à titre indicatif)Créer un outil d'authentification avec HTTP basicJour 2
Présentation de l'OWASP et de ses projets
Les Security Cheat Sheets
Le Top 10
Les guides de l'OWASP (Test Guide, Dev Guide...)
L'ASVS (Application Security Verification Standard)
Les grandes familles de vulnérabilités :
- Les CVE (Common Vulnerabilities and Exposures)
- Les CWE (Common Weakness Enumerations)
- Le scoring CVSS (Common Vulnerability Scoring System)Exemples de travaux pratiques (à titre indicatif)Estimation de la vulnérabilité d'un produit
Exploitation :
- D'une injection d'entête HTTP
- D'une injection SQL
- D'une Cross-Site Scripting
- D'une Cross-Site Request Forgery
- D'une Server-Side Request ForgeryJour 3Exemples de travaux pratiques (à titre indicatif) - SuiteExploitation d'un vol de session
Exploitation d'une désérialisation
Exploitation d'une référence directe à un objet
Le cas des API
Les bonnes pratiques de sécurisation du code
Se protéger de la décompilation
L'obfuscation du code
Faire des tests et des validations :
- La capture via proxy
- La capture via tcpdump ou Wireshark
- Les tests avec Postman
- Les vulnerability scanners
Le DAST (Dynamic Application Security Testing)
Le SAST (Static Application Security Testing)
Filtrer les échanges :
- Les WAF (Web Application Firewalls)
- Les IPS et les IDS
Limiter l'exposition :
- Rôle des firewalls, proxies et DMZ
Rappels sur la sécurité applicative
Fonctionnement de la pile d'exécutionL'analyse de code
L'hijacking de ressources
Les overflows
Les protections lors de l'exécution
Sécurité du Framework .NET
Les "namespaces"Le Sandboxing
L'attribut APTCA (Allow Partially Trusted Callers Attribute)
Chiffrement avec C#
Rappel des bases du chiffrementLes fonctions de hash
Les algorithmes symétriques type AES
Les algorithmes asymétriques RSA
Windows Data Protection et File. Encrypt
Générer des clés
Générer des certificats
L'authentification
Exploitation d'HTTP basicLa classe FormsAuthenticationModule
Le protocole IWA (Integrated Windows Authentication)
La méthode Application_AuthenticateRequest
Le contrôle des rôles et permissions
La classe UrlAuthorizationModule
Les "security attributes"Exemple de travaux pratiques (à titre indicatif)Créer un outil d'authentification avec HTTP basicJour 2
La sécurité applicative
Anatomie d'une faille applicativePrésentation de l'OWASP et de ses projets
Les Security Cheat Sheets
Le Top 10
Les guides de l'OWASP (Test Guide, Dev Guide...)
L'ASVS (Application Security Verification Standard)
Les grandes familles de vulnérabilités :
- Les CVE (Common Vulnerabilities and Exposures)
- Les CWE (Common Weakness Enumerations)
- Le scoring CVSS (Common Vulnerability Scoring System)Exemples de travaux pratiques (à titre indicatif)Estimation de la vulnérabilité d'un produit
Exploitation :
- D'une injection d'entête HTTP
- D'une injection SQL
- D'une Cross-Site Scripting
- D'une Cross-Site Request Forgery
- D'une Server-Side Request ForgeryJour 3Exemples de travaux pratiques (à titre indicatif) - SuiteExploitation d'un vol de session
Exploitation d'une désérialisation
Exploitation d'une référence directe à un objet
La sécurité du code externe
Le cas des librairiesLe cas des API
Mettre en place du Secure Code
Durcir son application avec l'OWASP ASVS et l'OWASP Dev GuideLes bonnes pratiques de sécurisation du code
Se protéger de la décompilation
L'obfuscation du code
Faire des tests et des validations :
- La capture via proxy
- La capture via tcpdump ou Wireshark
- Les tests avec Postman
- Les vulnerability scanners
Le DAST (Dynamic Application Security Testing)
Le SAST (Static Application Security Testing)
Filtrer les échanges :
- Les WAF (Web Application Firewalls)
- Les IPS et les IDS
Limiter l'exposition :
- Rôle des firewalls, proxies et DMZ
Dates et lieux
Avis des participants à la formation Sécurité des applications .NET
Les avis figurant ci-dessous sont issus des fiches d’évaluation que remplissent les participants à la fin de la formation. Ils sont ensuite publiés automatiquement si les personnes ont explicitement accepté que nous les diffusions.
GS
4/5
Mon avis sur le contenu du stage :
"J'ai pu voir pas mal de notions très générale mais je trouve que 3 jours est un peu court pour aborder plus précisément les sujets. Manque un peu de travaux pratiques."
Mon avis sur le formateur :
"Un peu trop théorique avec de la lecture au début."
Ce que j'ai le plus apprécié :
"Les échanges avec le formateur, possibilité de discuter de certains sujets et d'approfondir les sujets techniques. "
Ce que j'ai le moins apprécié :
"Parfois une moins bonne connexion (débit réseau un peu limité). Le premier jour est trop théorique"
DEFRANCE Baptiste
4/5
WJ
4/5
BF
5/5
Ces formations peuvent aussi vous intéresser :
ADO.NET Entity Framework - Développer une solution d'accès aux données avec Visual Studio 2015/2017
- 5 jrs- Niveau : Intermédiaire
- Référence : ADON
Formations Informatique
et Management
en ligne à ce jour
+
Stagiaires dans nos salles
de cours sur
l'année
%
De participants satisfaits
ou très satisfaits de nos
formations
Formateurs experts
validés par
PLB
