Programme détaillé formation `Sécurité JAVA`- 3j
Programme détaillé formation 'Sécurité JAVA'- 3j
Objectifs : fournir connaissances permettant de mettre en œuvre une politique de sécurité pour une application Java
Audience : Développeurs, chefs de projets .
Prérequis : pratique langage de programmation JAVA
Durée : 3 jours (total 21 h)
Vous allez apprendre à :
Mettre en oeuvre le protocole OAuth 2.0 en Java
Contrôler les actions de tout code java sur votre système (fichier .policy)
Comprendre l’API d’authentification et autorisation JAAS
Mettre en oeuvre les API : JSSE et JCE
Sécuriser l’accès à vos écrans web JEE
Sécuriser vos services web SOAP et REST
Utiliser l’outil keytool pour manipuler des certificats
Sécuriser via SSL la communication entre client/serveur
Sécuriser l’accès aux méthodes de vos EJB
Mettre en oeuvre via des intercepteurs un audit de sécurité
Comprendre les stratégie de Single Sign On (SSO)
Programme détaillé
Concepts théoriques clés
Authentification
Autorisation
Confidentialité
Intégrité
Certificat numérique
Cryptage symétrique
Cryptage avec clé publique/privée
Autorité de certification
Annuaire d’identité
Attaques courantes
Connaître OWASP
Top 10 WASP 2014
Injection
XSS
Exploits
CRLF
Scanners
sécurité Java
Bac à sable
ClassLoader.
SecurityManager
AccessController
Objis sas au capital de 49.500 euros | Siège social : 421 rue DUGUESCLIN, 69003 LYON | RCS Lyon SIRET
48207506600027 | www.objis.com | contact@objis.com
Fichier java.policy
Fichier security.policy
PolicyTool
Obfuscation.
Applets
sécurité JEE
spécification JAAS
Realm , JDBCRealm, LDapRealm
Subject , Principal
Filtre Windows
Keystore JKS , cacerts
SSL
Services apportés par SSL
Chiffrement MD5, SHA
DES, RSA, Digest
Signature , certificat
keytool
chainage
API Java Secure Socket Extension (JSSE).
Authentification X.509. TLS et SSL.
Java Cryptography Extension (JCE).
JEE : conteneur web
Authentification et Autorisation
Choix web.xml ou Annotations
security-constraint
7 méthodes pour le développeur
Sécurité par programmation
listeners, login, logout
@ServletSecurity
@HttpConstraint
JEE : conteneur EJB
Sécurité déclarative : annotations
Choix XML / Annotations
@RunAs,DeclareRoles,@RolesAllowed, @DenyAll, @PermitAll...
Intercepteurs
AroundInvoke
Web services
Rappel : Rest ou SOAP ?
Sécu REST avec HTTPS
Notion de ’Handlers’ JAX-WS
WS-Security , WSS4j,
SAML
Single Sign On
Architecture
Implémentations
OpenAM
Annuaire d’identité
OAuth
Comprendre OAuth 2.0
Implémentation Java avec Scribe
OpenID Connect
Audit sécurité
3 étapes clés
Questions préliminaires
Boîte blanche
Boîte noire
Rapport d’audit
Recommandations
Normes
Objis sas au capital de 49.500 euros | Siège social : 421 rue DUGUESCLIN, 69003 LYON | RCS Lyon SIRET
48207506600027 | www.objis.com | contact@objis.com
1
/
2
100%
