M2i Formation

Sécurité applicative avec PHP

Par M2i Formation

Objectifs

  • Acquérir des compétences en programmation
  • Sécuriser efficacement un serveur Web / une application.

Programme

Jour 1

Introduction

  • Panorama de la sécurité Web
  • Les normes et lois
  • Les référentiels
  • Les groupes de réflexions
  • Evolution du langage PHP

Protocole HTTP avec PHP

  • Principes d'une application PHP trois tiers
  • Requête Ajax
  • La fonction header()
  • http_response_code()
  • Les méthodes HTTP via le module cURL pour PHP
Exemple de travaux pratiques (à titre indicatif)
  • Ouverture sur Burp Suite

Top 10 OWASP 2017 (basé sur Burp Suite)

  • Mise en place du Lab
  • Introduction au Top 10 OWASP, Top 25 SANS et Veracode
  • Les différentes injections (SQL, LDAP, code...)
  • Authentification
    • Exposition de données sensibles
Exemples de travaux pratiques (à titre indicatif)
  • Injection SQL et injection de code
  • Session hijacking (MITM proxy), brute force (cewl + Cupp.py)
  • Burp Spider, Shodan, dorks, dirbuster, inspection de code et GIT

Jour 2

Top 10 OWASP 2017 (basé sur Burp Suite) - Suite

  • XXE (XML eXternal Entity)
    • Sécurisation des accès
  • Mauvaise configuration de sécurité
  • Cross-Site Scripting (XSS)
    • Stored
    • Reflected
    • Dom based
  • Désérialisation non sécurisée
  • Composants vulnérables
  • Logging et monitoring
Exemples de travaux pratiques (à titre indicatif)
  • Challenge XXE
  • Elévation de privilèges (bypass CORS et cookie tamering)
  • Vulnérabilité SSRF (Server Side Request Forgery)
  • Defacing avec XSS
  • Vol de cookies via CSRF
  • Elévation de privilège via cookie sérialisé
  • Scan de vulnérabilité (WPScan, Nikto, Openvas, NMAP) et framework offensif (Metasploit)
  • DoS d'une application
  • Revue et démonstration sur une faille de sécurité PHP : Drupal remote execution

Jour 3

Hardening d'une application PHP

  • Les forces et faiblesses du langage PHP
  • Sécuriser une authentification (captcha et anti-bruteforce PHP)
  • Gestion des mots de passe (password_hash / password_verify)
  • Renforcement du système de sessions PHP
  • Contrôle d'accès (de l'intérêt de la Programmation Orientée Objet en PHP)
  • Validation des entrées (filter_var / strip_tags)
  • Encodage des sorties (htmlentities / htmlspecialchars)
  • Sécuriser un upload de fichier en PHP
  • Comment générer des tokens anti-CSRF (Cross Site Request Forgery) ?
  • Management des logs (php.ini)
Exemple de travaux pratiques (à titre indicatif)
  • Création d'un portail d'authentification sécurisé en PHP

Hardening client / serveur par la pratique

  • PHPINFO() / PHPSECINFO()
  • php.ini
  • CSP (Content Security Policy)
  • SOP / CORS
  • Tests unitaires PHP
  • Analyse statique / dynamique avec RIPS
  • Durcissement des trames en PHP
  • Ouverture avec l'OWASP testing guide, ASVS (Application Security Verification Standard)

Pédagogie

L'évaluation des acquis se fait :

  • En cours de formation, par des études de cas ou des travaux pratiques
  • Et, en fin de formation, par un questionnaire d'auto-évaluation ou une certification (M2i ou éditeur)

Partager cette formationTélécharger au format pdf Ajouter à mes favoris

Formations de la même catégories (5)

XXL Formation
PHP - Niveau 2Par XXL Formation

Acquérir une meilleure compréhension de PHP 5 et de ses mécanismes avancéesRédiger du code plus maintenable et sécuriséDécouvrir les capacités évoluées de PHP pour créer des applications plus riches

Orsys
PHP 7 et 5, perfectionnementPar Orsys

Vous étudierez, dans ce cours, les aspects avancés du langage PHP liés à l'authentification et aux manipulations des bases de données. L'ouverture vers les nouvelles perspectives (Web 2.0) est abordée au travers d'une introduction à Ajax et par l'utilisation de clients riches communiquant en flux XML avec le serveur. Vous utiliserez enfin quelques briques logicielles comme PEAR ou PHPLib pour optimiser vos développements.Vous pourrez valider vos compétences avec la certification AVIT® proposée en option.

Ziggourat
PrestaShop - DéveloppeurPar Ziggourat

Cette formation vous permet de maintenir un serveur hébergeant un site PrestaShop, d'utiliser et modifier des thèmes, d'utiliser et modifier des modules et de développer et distribuer de nouveaux modules et thèmes.

Open Source School Executive Education
Testing PHPPar Open Source School Executive Education

Être capable de mettre en place des applications Web PHP avancé
Être capable de développer en objet
Savoir réduire les temps d'affichage d'une page
Sécuriser et optimiser vos accès aux bases de données

Open Source School Executive Education
PHP orienté algorithmesPar Open Source School Executive Education

Découvrir les concepts de la programmation
Connaître les fondamentaux du langage PHP
Savoir écrire une application procédurale

Nous utilisons les cookies afin de fournir les services et fonctionnalités proposés sur notre site et afin d’améliorer l’expérience de nos utilisateurs. En cliquant sur ”J’ai compris”, vous acceptez l’utilisation de ces cookies.