Sécurité des applications Web .Net
Objectifs
- Comprendre comment tirer parti des fonctionnalités de sécurité intégrées au Framework .Net
- Savoir les mettre en oeuvre, plus particulièrement en ce qui concerne le chiffrement et la signature des données
- Savoir gérer un certificat numérique aussi bien sur un serveur Web qu’à partir du client
- Comprendre comment tester chaque aspect de la sécurité d’un serveur Web ASP .Net
Programme
Sécurité des applications .Net
- Principes – La sécurité
- Les différents types de menace
- Gestion de la sécurité dans le Framework .Net pour les différents types d’application : applications distribuées, applications mobiles, applications Web, applications de bureau
Sécurité dans le Framework .Net
- Concepts fondamentaux
- Sécurité d’accès du code
- Sécurité basée sur les rôles
- Services de chiffrement
Les bases de la cryptographie
- Cryptographie – Les définitions
- Types de chiffrement : chiffrement à clés partagées, chiffrement à clé publique
- Symétrique vs. asymétrique, combinaisons symétrique / asymétrique, fonctions de hachage, signatures numériques, processus de signature, processus de vérification
Chiffrement, hash et signature des données en .Net
- Cryptographie Service Providers (CSP)
- System, security, cryptography
- Choix des algorithmes de chiffrement
- Chiffrement symétrique en .Net : algorithme (DES, 3DES, RC2, AES), chiffrement de flux, mode de chiffrement (CBC, ECB, CFB)
- Algorithmes asymétriques en .Net
- Algorithme : RSA, DSA
- Algorithme de hachage : SHA-1, MD-5
Vue d’ensemble d’une infrastructure à clé publique (PKI)
- Certificat numérique : certificat X.509
- PKI – Les définitions
- Les fonctions PKI
- PKI – Les composants
- PKI – Le fonctionnement
- Applications de PKI : SSL, VPN, IPSec
- IPSec et SSL en entreprise
- Smart Cards (cartes intelligentes)
- Autorité de certification
SSL et certificat de serveur
- Certificat de serveur SSL : présentation, autorité de certification d’entreprise, autorité de certification autonome
Utilisation de SSL et des certificats clients
- Certificats clients
- Fonctionnement de SSL : phase I, II, III et IV
- Classe X509 Certificate
- Classe HttpClient Certificate
Sécurité des services Web
- Objectifs de la sécurisation des services Web : authentification, autorisation, confidentialité et intégrité
- Limitations liées à SSL
- Sécurité des services Web : WSE 2.0, sécurisation des messages SOAP
Jetons de sécurité
- Jetons de sécurité : UserName Token, Binary Token, XML Token
- Certificats X.509
- Signature des messages SOAP : création d’un jeton de sécurité, vérification des messages SOAP, chiffrement des messages SOAP, déchiffrement du message
Sécurité et développement Web
- Classification des attaques : STRIDE, OWASP
- Les erreurs classiques
- Attaque par injection
- XSS (Injection croisée de code)
Outils de sécurité et d’audit
- Outils du SDK liés à la sécurité
- Outils pour mener les tests de sécurité
Please login to get access to the quiz
Back to Sécurité des applications web