Vue d’ensemble de la sécurité des applications web
- Positionnement de la sécurité dans le processus de développement
- Authentification, Identification, Habilitation
- Sécurité du point de vue du client
- Sécurité du point de vue du serveur
- Sécurité des supports
- Sécurité des conteneurs et serveurs
Sécurité et développement Web
- Classification des attaques OWASP
- Les erreurs classiques
- Attaque par injection
Validation des données dans les applications Web
- Identifier les sources de données
- Attaques par les cookies et HTTP
- Validation des données entrantes
- Gestion des erreurs
Authentification et Authorisation
- Restreindre l’accès aux applications Web
- Permissions sur les applications Web dans IIS
- Les modes d’authentification
- Emprunt d’identité et délégation
Concepts de sécurité basée sur les rôles
- Identités et entités de sécurité
- Création d’identités et d’entités de sécurité Windows
- Création d’identités et d’entités de sécurité génériques
- Vérification de l’identité et de sécurité
Les jetons de sécurité
- Jetons : UserName Token, Binary Token
- JWS
- Certificat X.509
Sécuriser les ressources
- Gestion des autorisations
- Traitement des requêtes HTTP
- Créer un handler HTTP personnalisé
- Crypter le fichier de configuration
Sécurité du code
- Sécurité d’accès au code dans une application .NET
- Signer les assemblies
Protéger les données
- Cryptage, hachage et signature
- Cryptage symétrique et asymétrique
- Vérifier l’intégrité des données avec le hachage
- Communication sécurisée avec SSL