picto Web - Digital

Formation PHP Sécurité

Référence

IPHS

Durée

4 JOURS

Tarif

2165 € HT

NIVEAU

Expert

Cours à distance

Non

Objectifs de la formation PHP Sécurité

De par sa nature même, le service dynamique de pages web ouvre de nombreuses portes sur le monde extérieur. Pour le développeur, il est primordial de prendre conscience des types d'attaques auxquelles son code sera potentiellement exposé. Cette formation PHP sécurité se concentre sur le point de vue du développeur, les aspects "sécurisation serveur" étant abordés dans les cours d'administration. Une approche pratique basée sur des sessions de hacking éthique.

Pré-Requis

De par sa nature même, le service dynamique de pages web ouvre de nombreuses portes sur le monde extérieur. Pour le développeur, il est primordial de prendre conscience des types d'attaques auxquelles son code sera potentiellement exposé. Cette formation PHP sécurité se concentre sur le point de vue du développeur, les aspects "sécurisation serveur" étant abordés dans les cours d'administration. Une approche pratique basée sur des sessions de hacking éthique.

Public

Cette formation s'adresse aux développeurs PHP ayant déjà une bonne pratique du langage et désirant développer des applications sécurisées.

Contenu du cours PHP Sécurité

Comprendre pour réduire les risques des applications PHP

Les Risques

Destruction de données
Détournement de site
Publication de données confidentielles
Abus de ressources
Vol d'identité

Plan Sécurité

Conception, Développement et  Maintenance

Sécurité et Pages Web

XSS

Principe et méthodes de protection
Moteur de recherche

Atelier

Mise en oeuvre et contrage d'une injection sur le site BDPhilia

CSRF

Principe et contre-mesures
Virus en base de données

Atelier

Mise en oeuvre d'une propagation sur le forum BDPhilia

Formulaires PHP : la grande porte

Les failles

Validation et limitations de l'approche JavaScript
Chaînage, attaques HTTP et Ajax
Contre-mesures

Validation des entrées

Tests et principe des listes
Expressions régulières, standards et filtres

Upload

Failles et contre-mesures

Atelier

Exécution maligne d'un fichier téléchargé via le backoffice de BDPhilia

Sécurité PHP : Cookies et Sessions

Cookies

Principes et risques
Manipulation JavaScript
Tableaux de cookies

Sessions

Mode Cookie vs. Header
Principe du vol de session

Sécuriser PHP : les bons réglages

PHP.ini

Directives sensibles, sessions et erreurs

Protéger les scripts

Protection physique
Exécution de scripts distants ou à la volée

Atelier

Réglage des options sensibles. Discussion sur les conséquences au niveau développement.

Sécurité PHP : Bases de Données

Failles potentielles

Risques : données et administration
Stockage

Injections SQL

Principe et contre-mesure
Procédures stockées et requêtes paramétrées
Limites

Fichiers d'accès

Organisation et valeurs par défaut
Accès anonymes et protocoles

Atelier

Utiliser la pagination du moteur de recherche BDPhilia pour modifier des données et des droits

Sécuriser l'emploi des extensions en PHP

Se protéger contre le SPAM

Spam via un formulaire de contact : Injections et contre-mesures

Atelier

Utiliser un formulaire de contact pour envoyer un mail à 3 adresses différentes

Accès réseau par PHP

Appels séquentiels et récursifs
Attaque furtive

Atelier

Soumettre une url détournée

La boîte à outils

BFA

Principe : Dictionnaire
Identification et contre-mesures

Atelier

Mise en oeuvre des outils nécessaires à une BFA

Phishing

Principe et  formation des utilisateurs

Atelier

Analyse de différents cas, identification des victimes potentielles

DoS

Quotas et gestion des charges

Atelier

Mise en oeuvre d'une file d'attente pour la génération graphique de T-Shirts sur BDPhilia

Mots de passe

Renforcement et stockage
Création et rappel

Atelier

Mise en oeuvre d'une inscription sécurisée pour l'espace client de BDPhilia

Chiffrement et Signature

Cryptage / décryptage : Implémentation PHP et MySql

Atelier

Cryptage des données client

Ruses de Sioux

Pot de Miel, Obfuscation et Turing inversé

Atelier

Créer un pot de miel pour l'admin du BO, obfusquer les formulaires de recherche en MD5 et appliquer un test de Turing inversé sur le formulaire de contact

Frameworks et briques logicielles

Gestion de la sécurité dans les développements composites

Audit de Sécurité

Méthodologie de base, Cross-test et Rapport d'Audit

Atelier

Rédiger un rapport d'audit sur la version de base de BDPhilia et sur les mesures prises pour améliorer la situation.