Orsys

REST API, bonnes pratiques et sécurité

Par Orsys

Objectifs

À l’issue de la formation, le participant sera en mesure de :

  • Prendre en main les outils qui vous accompagneront de la conception au déploiement et la supervision de vos APIs
  • Découvrir les menaces auxquelles s’exposent vos API
  • Découvrir les vulnérabilités les plus fréquentes
  • Savoir repérer les points faibles d’une API puis la protéger
  • Découvrir les bonnes pratiques de conception, de développement et d’architecture des APIs ReST

Programme

Introduction aux APIs ReST

  • L’écosystème moderne.
  • Roy Thomas FIELDING : père du ReST.
  • Richardson’s maturity model ou Web Service Maturity Heuristic.
  • H.A.T.E.O.A.S., Resource Linking and Semantic Web.

Conventions et bonnes pratiques

  • Pragmatisme, idéologie et ReSTafarians.
  • Les conventions.
  • Les différentes approches de versioning.
  • Tips, tricks et bonnes pratiques de conception et de développement.
  • Les “standards” ou presque.

Travaux pratiques
Conception d’une API ReST.

La boîte à outils

  • Conception d’APIs ReST avec OpenAPI et Swagger.
  • Debug et testing avec Postman.
  • Sandbox. JSON Generator. JSON Server.

Travaux pratiques
Spécification d’une API ReST avec Swagger. Test d’une API ReST avec Postman. Implémentation d’une API ReST.

Rappels sur la sécurité

  • Menaces et impacts potentiels.
  • Les 4 principes de la sécurité informatique.
  • Présentation de l'OWASP TOP 10.

Authentification et autorisation

  • Sécurité de l’authentification. Cookies are evil.
  • CORS et CSRF. Anti-farming et rate-limiting (ou throttling).
  • Autorisation et gestion des permissions.
  • Les différents niveaux de granularité des mécanismes de gestion de permissions.
  • Role-Based Access Control versus Resource-Based Access Control.
  • OAuth2 et OpenID Connect.

Travaux pratiques
Recherche et exploitation de vulnérabilités d’authentification et d’autorisation avec Websheep.

Autres vulnérabilités

  • Canonicalization, Escaping et Sanitization.
  • Injection (code, SQL, NoSQL, données...).
  • Data ou cache Poisoning. ReDoS.

Travaux pratiques
Recherche et exploitation de vulnérabilités avec Websheep.

J.W.T.

  • Rappels sur la cryptographie.
  • J.O.S.E. : J.W.K., J.W.S., J.W.E et J.W.T.
  • J.W.T. : fonctionnement, risques associés et bonnes pratiques. Vulnérabilités J.W.T.

Travaux pratiques
Recherche et exploitation de vulnérabilités avec Websheep.

API Management

  • Intérêts et fonctionnalités des solutions d’API Management.
  • API management dans le Cloud avec Apigee.
  • API management On Premise avec Kong.

Formations de la même catégories (5)

Interfora
Sécurité (mixed learning)Par Interfora
  • Pouvoir adopter un comportement adapté aux situations d’urgences
  • Savoir lister les risques sur un site chimique industriel et s’en protéger
  • Comprendre le cadre réglementaire et l’organisation liée à la sécurité
  • Etre en mesure d’adopter un comportement de prévention au quotidien.
  • Feel Europe
    Maîtriser les enjeux d'un plan de reprise d'activité (PRA) / Plan de continuité d'activité (PCS/PCA)Par Feel Europe
    • Savoir mener à bien un projet de secours informatique et/ou de continuité d'activité
    Evocime
    Être un leader exemplaire en management de la sécuritéPar Evocime
    • Ancrer sa performance managériale grâce à ce levier stratégique qu’est la sécurité des équipes
    • Repositionner les obligations de sécurité comme des axes d’amélioration de la performance collective et individuelle
    • Décliner l’exemplarité demandée en matière de sécurité dans ses axes de management au quotidien
    • En profiter pour capitaliser sur les outils d’animation de la sécurité existants et leur bon usage (DUERP, procédures, audits internes et/ou externes, points sécurité, analyse accidents, etc…)
    • Travailler concrètement sur les difficultés rencontrées par les encadrants sur le terrain, dans le cadre de la sécurité, en formalisant à l’issue des conduites à tenir sur les cas ciblés.
    Formatex
    Les nouveaux risques à l’internationalPar Formatex

    Permettre aux participants de connaître le degré d’exposition de leurs sociétés aux risques émergents, l’interconnexion des risques mais aussi leur traitement, la nécessité d’une cartographie/priorisation des risques de sécurité, les outils (plan de sécurité, PCA, plan SSI) et la nécessaire sensibilisation des collaborateurs.

    M2i Formation
    Management de la sécurité : référentiel MASE-UICPar M2i Formation
    • Comprendre les exigences du référentiel MASE-UIC et ses finalités
    • Identifier les actions à mettre en place pour y répondre
    • Préparer la certification ou la démarche MASE-UIC de votre entreprise.