Formation Sécurité des applications Java

  • Identifier le périmètre de la sécurité des applications Java

  • Contrôler les actions de tout code java sur votre système (fichier .policy)

  • Mettre en oeuvre les API de cryptographie : JCA/JCE

  • Sécuriser l’accès à vos écrans web et vos EJB avec JAAS

  • Utiliser l’outil keytool pour manipuler des certificats

  • Sécuriser via SSL la communication entre client/serveur

Maîtriser JAVA


Programme de la formation Sécurité des applications Java

Les concepts clés

L'authentification

L'autorisation

La confidentialité

L'intégrité

L'empreinte

Le chiffrement

La signature

Les failles et les remèdes

Top 10 OWASP

Les injections SQL

Cross Site Scripting (XSS)

Le détournement de sessions

La référence directe par URL

Cross Site Request Forgery (CSRF)

La sécurité Plateforme

Le bac à sable

ClassLoader

SecurityManager

AccessController

Le fichier java.policy

Le fichier security.policy

L'outil PolicyTool

Le chiffrement en Java

Les bases du chiffrement

Classe java.security.Security

Classe java.security.Provider

Les services d’un provider

Les algorithmes de Chiffrement

Les algorithmes symétriques type AES

L'algorithme asymétrique RSA

Les fonctions à sens unique type SHA

La génération de clés

La génération de certificats X.509

Les outils GnuGPG, GPG4Win, Keytool

La sécurité conteneur web et EJB

Spécification JAAS

Realm DB, LDAP, LoginModule

HTTP BASIC, FORM, CLIENT-CERT

Spécificités Tomcat / WILDFLY / GLASSFISH

@ServletSecurity, @HttpConstraint

@RunAs,DeclareRoles,@RolesAllowed,

@DenyAll, @PermitAll...

Les limites de JAAS

Les outils : Apache Shiro, Spring Security

L'audit Sécurité

Les scanners réseau / Ports

Les scanners de Vulnérabilité

La base de données d’exploits

Les normes PCI/DSS

Les normes CERT JAVA

Les outils : Nmap, OpenVAS, WebGoat