Sécurité des applications web

Objectifs

• Connaître les risques potentiels dans l’utilisation de Java
• Identifier les parades à mettre en oeuvre, les moyens de sécuriser les applications JEE
• Apprendre à sécuriser les différents aspects techniques d’une application
• Être capable de tester la sécurité des applications Web Java

Programme

Introduction

• Les risques
• Politique de sécurité
• Évaluation des risques en fonction des différents modes d’utilisation de Java (applets, application, servlets)

Sécurisation de la JVM

• Limites naturelles imposées par Java
• Gestion mémoire
• Contrôle du bytecode par la machine virtuelle

Protection de l’exécution

• Exécution protégée
• Security Manager, ClassLoader
• Surcharge des méthodes d’accès
• Lecture, écriture, exécution, ouverture de socket
• Autorisation de connexions…

Chiffrement

• Les mécanismes de signature
• Création de clés publiques et privées
• Les clés RSA, DSA
• Signature d’un document
• Les algorithmes SHA1withDSA, MD5withRSA
• Les MessageDigest
• Les algorithmes MD2, MD5, SHA-1, SHA-512

Certificats

• Cycle de vie d’un certificat
• La fabrique de certificats Java
• Les certificats de modification X509

Contrôle

• Rappel sur les ACL
• Le paquetage java.security.acl
• Ajout d’entrée, vérification d’accès

Obfuscation

• Principe
• Techniques d’obfuscation
• Solutions commerciales

JAAS et sécurité JEE

• Présentation
• Fonctionnement et mise en oeuvre
• Le service de sécurité
• Sécurité Web et EJB
• Autorisations EJB V3
• Accès applicatifs et lien avec un annuaire LDAP