3 jours (21 heures)

Formation certifiante - Code CNCP : 2231 - Certif Info : 94013

Objectifs

  • Comprendre comment le langage Java et l’architecture de la plate-forme standard résolvent de nombreux problèmes de sécurité de bas niveau pour tout le code Java.
  • Concevoir et mettre en œuvre des stratégies de sécurité pour les applications, les serveurs et les composants Java.
  • Gérer les clés et les certificats pour une application Java et signer des sources de code si nécessaire.
  • Pratique la conception sécurisée et le codage, avec l’Api de Sécurité
  • Signez et vérifiez les données de l’application à l’aide du JCA, puis chiffrez / déchiffrer à l’aide de JCE.
  • Intégrer l’authentification JAAS dans une application.
  • Implémentez un JAAS LoginModule pour vous connecter à vos propres données d’application.
  • Sécurisez les applications Java EE par URL et rôle, et intégrez l’authentification JAA.

Prérequis

Très bonne maîtrise de la programmation Java

Vous n’avez pas les prérequis nécessaires pour la formation Sécurité Java SE ? Contactez nous pour étudier ensemble un parcours sur mesure et garantir ainsi la réussite de votre projet

Intervenants

Les contenus pédagogiques sont synchronisés sur les évolutions techniques grâce à notre équipe d’intervenant experts et professionnels du secteur enseigné. Les formateurs qui interviennent pour animer les formations ont une double compétence : compétence informatique et compétence métier (Banque, Assurance, Administration, Santé, Transport).

PROGRAMME DE FORMATION SÉCURITÉ JAVA SE

Jour 1

Sécurité Java SE      

  • Pratiques de sécurité
  • Menaces dû à l’utilisateur
  • Le chargeur de classe et le vérificateur Bytecode
  • Classes système et API de base
  • SecurityManager et AccessController
  • Autorisations
  • Implication
  • Politiques de sécurité
  • Configuration de Java SE Security
  • Politiques dynamiques
  • Actions Privilégiées

Signature du code et gestion des clés   

  • Cryptage et signature numérique
  • Clés
  • Clés et certificats
  • Autorités de certification
  • L’API KeyStore
  • Signature des JAR
  • Les Codes Sources Signés
  • Politique supplémentaire

Pratiques sécurisées de développement : Java SE    

  • Injection de code
  • Classes finales et méthodes
  • Singletons, et Factories
  • Méthodes, collections de données
  • Obfuscation de Code
  • Serialisation d’objets

Atelier et Cas pratique 

Jour 2

Cryptographie      

  • Menaces de l’identité et atteintes à la vie privée
  • Les extensions de cryptographie Java
  • La classe Signature
  • Les Signed Objects
  • Les extensions de cryptographie Java
  • Les Secret Keys et Key Generator
  • La classe Cipher
  • Pratiques dangereuses
  • HTTP et JSSE

JAAS

  • Logique d’authentification
  • JAAS
  • Paquets et interfaces
  • Le « ET et OR »
  • Autorisations pour l’utilisation de JAAS
  • LoginContext et LoginModule
  • Configuration de JAAS
  • La gestion des Callbacks
  • Mise en œuvre d’un client JAAS
  • Implémentation d’un module de connexion

Atelier et Cas pratique 

Jour 3

Sécurité Java EE      

  • Serveurs Java EE sous formes de Host
  • Configuration de sécurité Tomcat
  • Déclaration de rôles
  • Sécurisation des URL
  • Systèmes d’authentification HTTP
  • Sécurisation des EJB
  • Sécurité de la programmation
  • JAAS en Java EE
  • Les notions de Realms et LoginModules
  • JAAS à Tomcat
  • JACC
  • Certification d’une application Java EE
  • Configuration HTTPS

Pratiques de développement sécurisées : Java EE   

  • Vulnérabilités au niveau de la couche présentation
  • Comptes utilisateur
  • MVC et sécurité
  • Validation de l’entrée utilisateur
  • Injection SQL
  • Cross-Site Scripting
  • XSS reflected
  • Vaincre les failles XSS
  • OWASP
  • Tests de pénétration
  • Gestion des erreurs et fuite d’information
  • Logging et audit

Atelier et Cas pratique

Une attestation d’assiduité sera délivrée après la validation de toutes les compétences de ce module.

POUR TOUTE DEMANDE DE RENSEIGNEMENT OU DE DEVIS