Formations JAVA/JEE

Java/JEE, sécurité des applications

21 heures 0 mins

Formations JAVA/JEE

Objectifs de la formation

  • Principes fondamentaux de la sécurité des applications Java
  • Gestion de l’authentification
  • Contrôle d’accès et autorisations
  • Utilisation de SSL/TLS
  • Sécurisation des données
  • Infrastructures sécurisées modernes
  • Les différents types d’attaques

Programme de la formation

Principes fondamentaux de la sécurité des applications Java

– Introduction à la JVM

– Utilisation de versions récentes de Java (Java 17+).

– Bytecode & obfuscation.

– Gestion des dépendances avec Maven + détection des vulnérabilités dans les librairies.

– Mise en place d’un système de logging sécurisé (ex: SLF4J, Logback ou Log4J)

Gestion de l’authentification

– Les diverses méthodes d’authentification (mot de passes, biométrique, Clé numérique

etc …)

– Utilisation du standard OAuth 2.0 pour une gestion moderne des accès.

– JWT (JSON Web Tokens) pour la gestion des sessions sécurisées.

– L’authentification multi-facteurs (MFA).

– Intégration d’un fournisseur d’identité

TP : Mise en place d’un processus d’identification par Mot de passe, d’une clé d’API et d’un

token JWT avec Keycloak

Contrôle d’accès et autorisations

– Principe du moindre privilège dans les applications.

– Utilisation de RBAC (Role-Based Access Control).

– Implémentation de contrôles d’accès dans les applications. (Spring Security)

TP : Mise en place d’une section sécurisée basée sur le principe du moindre privilège avec

Spring Security.

Utilisation de SSL/TLS

– Utilisation de SSL/TLS pour sécuriser les communications.

– Configuration sécurisée des connexions bases de données (Utilisation de SSL/TLS pour la

connexion à MySQL/PostgreSQL).

– Génération d’un certificat auto signé avec java keystore.

TP : Génération d’un certificat auto signé avec keystore & Hebergement d’une app avec SSL

Sécurisation des données

– SQL Injection : comment les éviter (utilisation des Prepared Statements, ORMs comme

Hibernate).

– Chiffrement des données sensibles dans la base de données.

– Gestion des accès à la base de données (séparation des rôles et privilèges).

– Gestion sécurisée des mots de passe (stockage avec des algorithmes comme md5, sha256

ou bcrypt).

TP: Création d’une BDD stockant des mots de passes chiffrés et connexion utilisateur &

utilisation de requêtes préparées.

Infrastructures sécurisées modernes

– Les différents certificats HTTPS

– Principe de Zero-trust models

– Sécurité Java au sein des conteneurs

– Les SIEMS

– Le Protocole CORS

– Les architectures sécurisées par design

Les différents types d’attaques

– Validation des entrées utilisateur (Never Trust User Input).

– Sécurisation des API RESTful avec des headers comme Authorization et X-XSS-Protection.

– Injections SQL

– XSS & Sanitisation des entrées utilisateurs

– CSRF (Cross-Site Request Forgery) : mise en place de tokens anti-CSRF.

TP: Sanitization des données utilisateurs avec OWASP.

Please login to get access to the quiz
(Next Lesson) Développer avec les frameworks Java/Java EE
Back to Formations JAVA/JEE
Public

Développeurs et chefs de projets amenés à sécuriser des applications Java et JEE.

Pré-requis

Très bonnes connaissances du langage Java. Bonnes connaissances des concepts JEE. Expérience requise en programmation Java.

Sur le même thème