Sécurité de la machine virtuelle Java

• Chargement des classes. Concept de "bac à sable".
• SecurityManager, AccessController et définition des permissions (fichiers .policy).
• Créer ses permissions avec Java Security Permission.
• Mécanismes de protection de l'intégrité du bytecode, la décompilation et l'obfuscation du code.
• Spécificités des Applets en matière de sécurité.

Java Authentication and Authorization Service

• Architecture de JAAS.
• Authentification via le PAM, notion de Subject et de Principal.
• Gestion des permissions, les fichiers .policy.
• Utiliser JAAS avec Unix ou Windows, JNDI, Kerberos et Keystore. Le support du SSO.

Problématique de sécurité en .NET

• Définition de sécurité.
• Authentification, Protection, Cryptage.
• Outils de sécurité .NET.
• Sécurité d'exécution, authentification, protection des données et des accès.
• Types de menaces, validation des données saisies.

Sécurité du Framework .NET

• Protection du contenu des assembly.
• Protection de l'exécution des programmes.
• Déploiement d'une stratégie de sécurité du CLR.
• Stratégie de sécurité et déploiement des applications. Principe d'utilisation des "preuves".
• Règles d'exécution selon la provenance des applications.
• Nouveautés de .NET4.
• Confiance totale/Partielle.

Sécurité du code .NET

• Code transparent de sécurité, critique de sécurité et critique sécurisée.
• Quelles sont les autorisations d'accès du code ?
• Comment procéder à l'obfuscation du code. Chiffrement des informations de configuration.
• Mettre en place la gestion déclarative/impérative des mécanismes de sécurité.
• Effectuer la restriction/vérification des droits de l'exécution du programme.
• Comment mettre en œuvre la gestion de la sécurité à partir des rôles.

Les bons réglages pour sécuriser PHP

• Le fichier de configuration PHP.ini. Identifier les directives sensibles, les sessions et les erreurs.
• Comment mettre en place une protection des scripts. Protection physique. Exécution de scripts distants ou à la volée.
• Les cookies et les sessions.

La sécurité des bases de données

• Quelles sont les failles potentielles qui peuvent impacter les bases de données. Administration. Stockage.
• Les attaques de type "Injections SQL". Principe et contre-mesure. Procédures stockées et requêtes paramétrées. Limites.
• Quels sont les fichiers d'accès. Organisation et valeurs par défaut. Accès anonymes et protocoles.

Sécuriser l'emploi des extensions en PHP

• Email. Spam via un formulaire de contact : injections et contre-mesures.
• Comment réaliser les accès réseau par PHP. Les appels séquentiels et récursifs. Les attaques furtives.

Les vulnérabilités des applications Web

• Pourquoi les applications Web sont-elles plus exposées ? Les risques majeurs des applications Web selon l'OWASP.
• Les attaques "Cross Site Scripting" ou XSS. Pourquoi sont-elles en pleine expansion ? Comment les éviter ?
• Les attaques en injection (commandes injection, SQL Injection, LDAP injection...). Les attaques sur les sessions.
• Exploitation de vulnérabilités sur le frontal HTTP (ver Nimda, faille Unicode). Attaques sur les configurations standard
• Comment effectuer la recherche des vulnérabilités.
• Rechercher les vulnérabilités les plus répandues. Le Cross-Site Scripting. L’injection SQL.
• Les erreurs de logique applicative. Le buffer overflow (débordement de tampon). L’exécution de commandes arbitraires.

Les bonnes pratiques

• Quels sont les différents types d'entrées ? Comment effectuer la validation des entrées ?
• Quels sont les types d'opérations qui peuvent être effectuées sur les types numériques ?
• Les classes et les exceptions.
• Multi-threading et synchronisation.
• Les entrées-sorties, la sérialisation.
• Savoir effectuer la gestion des permissions.