+ 4 42 16 60 70  contact@cegefos.fr

image

durée formation certifiante Sécurité J2EE

5 jours / 35 heures

Formation Sécurité J2EE.

Disponible en Inter et Intra entreprise.

formation certifiante CNCP CPF Sécurité J2EE

Formation certifiante recensée à l'inventaire CNCP et éligible CPF

Module Sécurité J2EE faisant parti de la

certification Développement Java J2EE.

date prochaine session formation informatique et numérique

Prochaine dates et sessions

Pour connaitre les dates de la prochaine session dans la ville la plus proche,

CLIQUEZ ICI.

Sécurité JEE

Java J2EE est une plateforme fortement orientée pour le développement et l’exécution d’applications web. Si celle si est mal implémentée, elle peut faire l’objet de plusieurs attaques sur internet.

La sécurité J2EE vous permet d’avoir les bonnes pratiques de sécurisation des applications.

Les objectifs

A l’issu de la formation Sécurité J2EE, les apprenants auront les capacités de :

  1. Développer des applications Web et des services Java sécurisés, ou sécuriser les applications et services existants par analyse du besoin
  2. Définir les contraintes de sécurité et des configurations de connexion que peut introduire le conteneur Web pour appliquer des stratégies d'authentification et d'autorisation
  3. Prévenir les attaques Web communes, y compris XSS, CSRF, et l'injection SQL
  4. Valider l'entrée utilisateur pour bon fonctionnement de l'application
  5. Configurer un serveur et / ou l'application pour utiliser HTTPS
  6. Appliquer la cryptographie au niveau de l’application
  7. Avoir des Fichiers journaux sécurisés et établir des pistes de vérification des informations ou des actions particulièrement sensibles
  8. Utilisez HMAC pour la sécurité des services Web RESTful
  9. Participer à des systèmes d'authentification unique SAML et être au courant des problèmes de sécurité impliqués dans l'authentification unique
  10. Mettre en œuvre les côtés serveur et client du flux initial OAuth 2.0 afin de fournir autorisation d'un tiers aux ressources de manière sécurisée

Le public

La formation Sécurité J2EE, s’adresse à tout public salarié, demandeur d’emploi ou en reconversion professionnelle souhaitant acquérir des compétences en développement Java J2EE, notamment :

  1. Toute personne ayant des connaissances en développement WEB et souhaitant maîtriser le développement d’application Java J2ee
  2. Toute personne souhaitant élargir ses compétences sur les missions liées à la fonction de développement Java J2ee

Les prérequis

La formation sécurité J2EE nécessite les preqrequis suivants :

  1. Connaitre les fondamentaux du langage Java et de J2EE
Les utilitaires

Pour le bon déroulement de la formation Sécurité J2EE, voici une liste non exhaustive des outils indispensables :

  1. Un Core 2 Duo avec au moins 3 GB RAM
  2. Tout système d'exploitation qui prend en charge JDK 7 ou version ultérieure JDK
  3. Eclipse Luna pour développeurs Java EE ou version ultérieure
Programme détaillé
Jour 1

Comprendre les fondamentaux de la sécurité J2EE

Applications Web sécurisées      

  1. Les menaces et les vecteurs d'attaque
  2. Serveur, réseau et vulnérabilités du navigateur
  3. Principes de conception sécurisés
  4. GET vs POST
  5. Authentification et autorisation du conteneur web
  6. Les formulaires HTML
  7. Confidentialité Sous le répertoire /WEB-INF
  8. HTTP et HTTPS
  9. D'autres pratiques de Cryptographie
  10. Services SOA et Web
  11. Le OWASP Top 10

Authentification et autorisation   

  1. Schémas d’authentification HTTP BASIC et DIGEST
  2. Déclarant des Contraintes de sécurité
  3. Comptes utilisateur
  4. La protection des informations d'identification en transit
  5. Attaques
  6. Autorisation via les formats d'URL
  7. Les rôles
  8. Les formulaires d’authentification
  9. Conception d’un formulaire de Login
  10. L’autorisation avec mes EJB
  11. Sécurité dans JSF

 

Jour 2

Comprendre les attaques menaçant une plateforme J2EE

Attaques Web communes      

  1. Points de décision unique
  2. Cross-Site Scripting
  3. Validation vs. Échappement
  4. Cross-Site Request Forgery
  5. Demande de Tokens
  6. Attaques par injection
  7. Protections dans JDBC et JPA
  8. Gestion des sessions
  9. Prendre soin des cookies
  10. Validation d'entrée
  11. Validation des Entrées utilisateurs
  12. Pratiques de validation
  13. Expressions régulières
  14. Validation JSF
  15. Validation Bean (JSR-303)
  16. Les annotations « Constraint »
  17. Faire de la Validation croisée
  18. Support intégré en Java EE
  19. L'utilisation d'un validator
  20. La création de réponses d'erreur

 

Jour 3

Prévoir les menaces et anticiper les solutions

HTTPS et certificats      

  1. Cryptographie numérique
  2. Le chiffrement
  3. SSL et l’échange de clés sécurisé
  4. Le hashage
  5. Signature
  6. Les keystores
  7. Le keytool
  8. Pourquoi clés ne sont pas assez sécurisées
  9. Certificats X.509
  10. Les autorités de certification
  11. L'obtention d'un certificat signé
  12. Configuration de HTTPS
  13. Certificats côté client et la bidirection SSL
  14. L’authentification CLIENT-CERT

 

Niveau de l'application Cryptographie      

  1. L’architecture de Java Cryptography
  2. L'API KeyStore
  3. Signature numérique
  4. Hashage
  5. Pourquoi est-Hashage ne suffit pas
  6. La technique du grain de Sel
  7. Les algorithmes lents
  8. Technique de Renforcement des clés
  9. Les extensions liées à Java Cryptography
  10. Les types SecretKey et KeyGenerator
  11. Chiffrement symétrique
  12. Le choix d'algorithmes et les clés
  13. Pratiques dangereuses
Jour 4

Intégrer la sécurité dans la vie du projet

Pratiques de développement sécurisé      

  1. Cycle de développement sécurisé
  2. Gestion des erreurs
  3. Enregistrement d’un contenu approprié pour les journaux
  4. Vérification des comptes
  5. Stratégies : Filtres, intercepteurs, et les chaînes de commandement
  6. Tests de pénétration
  7. Les back Doors
  8. Sécurisez via le processus de Code Review

REST Sécurité générale      

  1. Les préoccupations de sécurité pour les services REST
  2. HTTPS
  3. HTTP BASIC et DIGEST
  4. Autorisation par pattern d'URL
  5. Cross-Site Scripting
  6. Attaques par injection
  7. Cross-Site Request Forgery
  8. Contre-mesures communes
Jour 5

Comprendre les standards de la sécurité informatique

HMAC sécurité      

  1. Cas d’utilisation : l'authentification du message
  2. Signature numérique
  3. Hashage de Signature: le HMAC
  4. Les grains de sels appropriés
  5. Amazon S3
  6. Les timestamps
  7. La signature et vérification des messages
  8. Cryptographie XML
  9. Sécurité et JSON

SAML SSO      

  1. Cas d’utilisation : Single Sign-On
  2. Orientation SAML
  3. Assertions SAML
  4. Protocole SAML
  5. Liaisons HTTP
  6. Attributs SAML
  7. La solution SAML SSO
  8. Identité fédérée
  9. Les fournisseurs d'identité et les fournisseurs de services
  10. Les Métadonnées
  11. L’Open ID
  12. Avoir une identité universelle
  13. Les préoccupations de sécurité dans les systèmes d'authentification unique

OAuth      

  1. Cas d’utilisation : tiers Autorisation
  2. OAuth
  3. L'API Google OAuth
  4. La mise en œuvre d'autorisation et les serveurs de ressources
  5. Les clients et la mise en œuvre
  6. Les préoccupations de sécurité avec OAuth

Besoin de devis/ Renseignements

Veuillez remplir le formulaire de contact

Merci de remplir le formulaire de contact. Un de nos conseillers traitera votre demande rapidement.

Please type your full name.
Invalid email address.
Veuillez saisir votre numéro de téléphone.
Please tell us how big is your company.
Entrer le nom de votre société si vous êtes salarié.
Please tell us how big is your company.
Entrée non valide
Robot Actualisation Entrée non valide