Sécurisation des applications Java et Java EE
Tout comme le reste des réseaux et programmes informatiques, vos applications Java et Java EE font face à des enjeux de sécurité qu'il est indispensable d'appréhender. Cette formation vous apportera une compréhension complète des risques liées aux applications et vous formera aux divers outils et techniques pour assurer leur protection.
Objectifs
- comprendre les enjeux de la sécurité
- connaître le rôle des CERT
- mettre en oeuvre une politique de sécurité pour une application Java
- mettre en application les recommandation du CERT
- mettre en oeuvre la sécurisation d’une application Java EE (Tomcat et Wildfly)
- savoir mettre en oeuvre une couche SSL/TSL
- connaître les principes de chiffrement
Démarche pédagogique :
- présentation des concepts, suivi d’ateliers de mise en pratique
- 60 % d’ateliers
Programme
- Concepts de base
- enjeux de la sécurité
- les risques
- les agences de surveillance
- CERT, OWASP
- exploits et POC
- bonnes pratiques de codage
- Attaques courantes
- le top 10 WASP
- injection
- XSS
- le top 10 WASP
- Chiffrement
- objectifs de la cryptographie
- chiffrement faible
- chiffrement symétrique
- DES, AES, BlowFish, ...
- chiffrement asymétrique
- clés RSA, GPS, ECC, …
- protocole Diffie-Hellman
- digest
- blocs
- MD2, MD5, SHA-1, SHA-2, SHA-3
- scellement et signature
- Certificats
- CA : Certificate Authority
- structure d’un certificat
- cycle de vie d’un certificat
- outils keytool
- fabrique de certificats Java
- Sécurisation des applications Java
- écrire des applications sécurisée
- CERT - Platform Security (SEC)
- logs, réseau, base de données
- applications et bac à sable
- les ClassLoader
- SecurityManager et AccessControler
- fichiers java.policy, security.policy
- les ACL (Access Control List)
- principe
- calcul des autorisations
- ajout d’entrée, vérification des accès
- écrire des applications sécurisée
- JAAS
- principes de base
- classes principales
- politiques de sécurité
- créer des plugins JAAS
- SSO - Kerberos
- Sécurisation des application Java Web
- gestion des sessions
- timeout, réécriture d’URL, rotation de l’ID de session
- les realms
- contraintes de sécurités dans le web.xml
- Tomcat
- configuration d’un realm
- mise en place de SSL
- JBoss 7 / Wildfly
- configuration d’un realm
- mise en place de SSL
- gestion des sessions
- Sécurisation des EJB
- annotations et XML
- intercepteurs
Prérequis
- connaissance du langage Java
- connaissance de l’architecture Java EE
Public
Cette formation s'adresse au développeurs et responsable de projet.
Cette formation s'adresse aux profils suivants
Objectifs
- comprendre les enjeux de la sécurité
- connaître le rôle des CERT
- mettre en oeuvre une politique de sécurité pour une application Java
- mettre en application les recommandation du CERT
- mettre en oeuvre la sécurisation d’une application Java EE (Tomcat et Wildfly)
- savoir mettre en oeuvre une couche SSL/TSL
- connaître les principes de chiffrement
Démarche pédagogique :
- présentation des concepts, suivi d’ateliers de mise en pratique
- 60 % d’ateliers
Programme
- Concepts de base
- enjeux de la sécurité
- les risques
- les agences de surveillance
- CERT, OWASP
- exploits et POC
- bonnes pratiques de codage
- Attaques courantes
- le top 10 WASP
- injection
- XSS
- le top 10 WASP
- Chiffrement
- objectifs de la cryptographie
- chiffrement faible
- chiffrement symétrique
- DES, AES, BlowFish, ...
- chiffrement asymétrique
- clés RSA, GPS, ECC, …
- protocole Diffie-Hellman
- digest
- blocs
- MD2, MD5, SHA-1, SHA-2, SHA-3
- scellement et signature
- Certificats
- CA : Certificate Authority
- structure d’un certificat
- cycle de vie d’un certificat
- outils keytool
- fabrique de certificats Java
- Sécurisation des applications Java
- écrire des applications sécurisée
- CERT - Platform Security (SEC)
- logs, réseau, base de données
- applications et bac à sable
- les ClassLoader
- SecurityManager et AccessControler
- fichiers java.policy, security.policy
- les ACL (Access Control List)
- principe
- calcul des autorisations
- ajout d’entrée, vérification des accès
- écrire des applications sécurisée
- JAAS
- principes de base
- classes principales
- politiques de sécurité
- créer des plugins JAAS
- SSO - Kerberos
- Sécurisation des application Java Web
- gestion des sessions
- timeout, réécriture d’URL, rotation de l’ID de session
- les realms
- contraintes de sécurités dans le web.xml
- Tomcat
- configuration d’un realm
- mise en place de SSL
- JBoss 7 / Wildfly
- configuration d’un realm
- mise en place de SSL
- gestion des sessions
- Sécurisation des EJB
- annotations et XML
- intercepteurs
Prérequis
- connaissance du langage Java
- connaissance de l’architecture Java EE
Public
Cette formation s'adresse au développeurs et responsable de projet.
Cette formation s'adresse aux profils suivants
Dernière mise à jour: 21/12/2023