Objectifs pédagogiques de la formation

La formation "Sécurité des applications webs et PHP" s'adresse aux développeurs PHP et vise à les sensibiliser à la sécurité des applicatifs Webs. L'objectif est de proposer aux participants l'acquisition des méthodes nécessaires à la sécurisation d'un serveur Web et des applicatifs associés au travers de fonctionnalités ad hoc.
Nous passerons en revue les outils de détection d'intrusion et les grands axes à garder à l'esprit lors du développement d'une application web en PHP (attaques XSS, CSRF, vol de sessions, injections SQL, LFI, RFI...)
Cette formation est conçue par l'auteur du livre Sécurité PHP

 

Programme de la formation

Généralités
  • Constats et risques
  • Rappels sur le réseau OSI, TCP/IP et HTTP
  • Introduction à SSL et HTTPS
  • Le serveur web et la sécurité

XSS (Cross Site Scripting)
  • Javascript et clients Web
  • Dangerosité de XSS
  • Protections possibles
  • Same Origin Policy

Serveur web Apache
  • Présentation et détail
  • Architecure interne
  • Modules de sécurité

Sessions et cookies
  • Définition et fonctionnalités
  • Utilité et configuration des cookies
  • Description de la session PHP
  • Sécuriser sa session

CSRF : Sea Surf
  • Concepts, exemples
  • Les protections par jetons et captchas
  • CSRF couplé à XSS

Attaques par injection SQL
  • Concepts
  • Protections

Divers
  • Détection des intrusions
  • Google et la sécurité
  • Hebergements PHP partagés
  • Commandes shell en PHP