Sécurité des applications web

Sécurité des applications Web .Net

Objectifs

  • Comprendre comment tirer parti des fonctionnalités de sécurité intégrées au Framework .Net
  • Savoir les mettre en oeuvre, plus particulièrement en ce qui concerne le chiffrement et la signature des données
  • Savoir gérer un certificat numérique aussi bien sur un serveur Web qu’à partir du client
  • Comprendre comment tester chaque aspect de la sécurité d’un serveur Web ASP .Net

Programme

Sécurité des applications .Net
  • Principes - La sécurité
  • Les différents types de menace
  • Gestion de la sécurité dans le Framework .Net pour les différents types d’application : applications distribuées, applications mobiles, applications Web, applications de bureau
Sécurité dans le Framework .Net
  • Concepts fondamentaux
  • Sécurité d’accès du code
  • Sécurité basée sur les rôles
  • Services de chiffrement
Les bases de la cryptographie
  • Cryptographie - Les définitions
  • Types de chiffrement : chiffrement à clés partagées, chiffrement à clé publique
  • Symétrique vs. asymétrique, combinaisons symétrique / asymétrique, fonctions de hachage, signatures numériques, processus de signature, processus de vérification
Chiffrement, hash et signature des données en .Net
  • Cryptographie Service Providers (CSP)
  • System, security, cryptography
  • Choix des algorithmes de chiffrement
  • Chiffrement symétrique en .Net : algorithme (DES, 3DES, RC2, AES), chiffrement de flux, mode de chiffrement (CBC, ECB, CFB)
  • Algorithmes asymétriques en .Net
  • Algorithme : RSA, DSA
  • Algorithme de hachage : SHA-1, MD-5
Vue d’ensemble d’une infrastructure à clé publique (PKI)
  • Certificat numérique : certificat X.509
  • PKI - Les définitions
  • Les fonctions PKI
  • PKI - Les composants
  • PKI - Le fonctionnement
  • Applications de PKI : SSL, VPN, IPSec
  • IPSec et SSL en entreprise
  • Smart Cards (cartes intelligentes)
  • Autorité de certification
SSL et certificat de serveur
  • Certificat de serveur SSL : présentation, autorité de certification d’entreprise, autorité de certification autonome
Utilisation de SSL et des certificats clients
  • Certificats clients
  • Fonctionnement de SSL : phase I, II, III et IV
  • Classe X509 Certificate
  • Classe HttpClient Certificate
Sécurité des services Web
  • Objectifs de la sécurisation des services Web : authentification, autorisation, confidentialité et intégrité
  • Limitations liées à SSL
  • Sécurité des services Web : WSE 2.0, sécurisation des messages SOAP
Jetons de sécurité
  • Jetons de sécurité : UserName Token, Binary Token, XML Token
  • Certificats X.509
  • Signature des messages SOAP : création d’un jeton de sécurité, vérification des messages SOAP, chiffrement des messages SOAP, déchiffrement du message
Sécurité et développement Web
  • Classification des attaques : STRIDE, OWASP
  • Les erreurs classiques
  • Attaque par injection
  • XSS (Injection croisée de code)
Outils de sécurité et d’audit
  • Outils du SDK liés à la sécurité
  • Outils pour mener les tests de sécurité
Sécurité des applications Web (Prev Lesson)
(Formation suivante) Sécurité des applications Web Java EE
Retour à Sécurité des applications web

Pas de commentaires

Donner un commentaire