Introduction

• Présentation des risques.
• Destruction de données.
• Détournement de site.
• Publication de données confidentielles.
• Abus de ressources.
• Vol d'identité.
• Plan Sécurité : Conception, Développement et Maintenance.

Les pages Web

• XSS  principe et méthodes de protection. Moteur de recherche.
• CSRF : principe et contre-mesures. Virus en base de données.

Formulaires : la grande porte

• Les failles. Validation et limitations de l'approche JavaScript. Chaînage, attaques HTTP et Ajax. Contre-mesures.
• Validation des entrées. Tests et principe des listes. Expressions régulières, standards et filtres.
• Upload. Failles et contre-mesures.

Cookies et sessions

• Cookies. Principes et risques. Manipulation JavaScript. Tableaux de cookies.
• Sessions. Mode Cookie vs. Header. Principe du vol de session.

Sécuriser PHP : les bons réglages

• PHP.ini. Directives sensibles, sessions et erreurs.
• Protéger les scripts. Protection physique. Exécution de scripts distants ou à la volée.

Bases de données

• Failles potentielles. Administration. Stockage.
• Injections SQL. Principe et contre-mesure. Procédures stockées et requêtes paramétrées. Limites.
• Fichiers d'accès. Organisation et valeurs par défaut. Accès anonymes et protocoles.

Sécuriser l'emploi des extensions

• Email. Spam via un formulaire de contact : injections et contre-mesures.
• Accès réseau par PHP. Appels séquentiels et récursifs. Attaque furtive.

Considérations générales

• BFA. Principe. Identification et contre-mesures.
• Phishing. Principe et formation des utilisateurs.
• DoS. Quotas et gestion des charges.
• Mots de passe. Renforcement et stockage. .
• Chiffrement et signature. Cryptage / décryptage : implémentation PHP et MySQL.
• Ruses. Pot de Miel, Obfuscation et Turing inversé.
• Frameworks et briques logicielles. Gestion de la sécurité dans les développements composites.
• Audit de sécurité. Méthodologie de base, Cross-test et rapport d'audit.