Programme détaillé formation 'Sécurité JAVA'- 3j Objectifs : fournir connaissances permettant de mettre en œuvre une politique de sécurité pour une application Java Audience : Développeurs, chefs de projets . Prérequis : pratique langage de programmation JAVA Durée : 3 jours (total 21 h) Vous allez apprendre à : Mettre en oeuvre le protocole OAuth 2.0 en Java Contrôler les actions de tout code java sur votre système (fichier .policy) Comprendre l’API d’authentification et autorisation JAAS Mettre en oeuvre les API : JSSE et JCE Sécuriser l’accès à vos écrans web JEE Sécuriser vos services web SOAP et REST Utiliser l’outil keytool pour manipuler des certificats Sécuriser via SSL la communication entre client/serveur Sécuriser l’accès aux méthodes de vos EJB Mettre en oeuvre via des intercepteurs un audit de sécurité Comprendre les stratégie de Single Sign On (SSO) Programme détaillé Concepts théoriques clés Authentification Autorisation Confidentialité Intégrité Certificat numérique Cryptage symétrique Cryptage avec clé publique/privée Autorité de certification Annuaire d’identité Attaques courantes Connaître OWASP Top 10 WASP 2014 Injection XSS Exploits CRLF Scanners sécurité Java Bac à sable ClassLoader. SecurityManager AccessController Objis sas au capital de 49.500 euros | Siège social : 421 rue DUGUESCLIN, 69003 LYON | RCS Lyon SIRET 48207506600027 | www.objis.com | [email protected] Fichier java.policy Fichier security.policy PolicyTool Obfuscation. Applets sécurité JEE spécification JAAS Realm , JDBCRealm, LDapRealm Subject , Principal Filtre Windows Keystore JKS , cacerts SSL Services apportés par SSL Chiffrement MD5, SHA DES, RSA, Digest Signature , certificat keytool chainage API Java Secure Socket Extension (JSSE). Authentification X.509. TLS et SSL. Java Cryptography Extension (JCE). JEE : conteneur web Authentification et Autorisation Choix web.xml ou Annotations security-constraint 7 méthodes pour le développeur Sécurité par programmation listeners, login, logout @ServletSecurity @HttpConstraint JEE : conteneur EJB Sécurité déclarative : annotations Choix XML / Annotations @RunAs,DeclareRoles,@RolesAllowed, @DenyAll, @PermitAll... Intercepteurs AroundInvoke Web services Rappel : Rest ou SOAP ? Sécu REST avec HTTPS Notion de ’Handlers’ JAX-WS WS-Security , WSS4j, SAML Single Sign On Architecture Implémentations OpenAM Annuaire d’identité OAuth Comprendre OAuth 2.0 Implémentation Java avec Scribe OpenID Connect Audit sécurité 3 étapes clés Questions préliminaires Boîte blanche Boîte noire Rapport d’audit Recommandations Normes Objis sas au capital de 49.500 euros | Siège social : 421 rue DUGUESCLIN, 69003 LYON | RCS Lyon SIRET 48207506600027 | www.objis.com | [email protected]