Sécurité des applications web

Sécurité des applications Web Java EE

Objectifs

  • Connaître les risques potentiels dans l'utilisation de Java
  • Identifier les parades à mettre en oeuvre, les moyens de sécuriser les applications JEE
  • Apprendre à sécuriser les différents aspects techniques d’une application
  • Être capable de tester la sécurité des applications Web Java

Programme

Introduction
  • Les risques
  • Politique de sécurité
  • Évaluation des risques en fonction des différents modes d'utilisation de Java (applets, application, servlets)
Sécurisation de la JVM
  • Limites naturelles imposées par Java
  • Gestion mémoire
  • Contrôle du bytecode par la machine virtuelle
Protection de l’exécution
  • Exécution protégée
  • Security Manager, ClassLoader
  • Surcharge des méthodes d'accès
  • Lecture, écriture, exécution, ouverture de socket
  • Autorisation de connexions...
Chiffrement
  • Les mécanismes de signature
  • Création de clés publiques et privées
  • Les clés RSA, DSA
  • Signature d'un document
  • Les algorithmes SHA1withDSA, MD5withRSA
  • Les MessageDigest
  • Les algorithmes MD2, MD5, SHA-1, SHA-512
Certificats
  • Cycle de vie d'un certificat
  • La fabrique de certificats Java
  • Les certificats de modification X509
Contrôle
  • Rappel sur les ACL
  • Le paquetage java.security.acl
  • Ajout d'entrée, vérification d'accès
Obfuscation
  • Principe
  • Techniques d'obfuscation
  • Solutions commerciales
JAAS et sécurité JEE
  • Présentation
  • Fonctionnement et mise en oeuvre
  • Le service de sécurité
  • Sécurité Web et EJB
  • Autorisations EJB V3
  • Accès applicatifs et lien avec un annuaire LDAP
Sécurité des applications Web .Net (Prev Lesson)
(Formation suivante) Sécurité des applications et des serveurs web
Retour à Sécurité des applications web

Pas de commentaires

Donner un commentaire