Formation : Sécurité en PHP

 

Comprendre pour réduire les risques des applications PHP.

Les Risques
Destruction de données
Détournement de site
Publication de données confidentielles
Abus de ressources
Vol d'identité
Plan Sécurité
Conception, Développement et Maintenance

Sécurité et Pages Web.

XSS
Principe et méthodes de protection
moteur de recherche
Atelier
Mise en oeuvre et contrage d'une injection sur le site BDPhilia.
CSRF
principe et contre-mesures
virus en base de données
Atelier
Mise en oeuvre d'une propagation sur le forum BDPhilia .

Formulaires PHP: la grande porte

Les failles
validation et limitations de l'approche javascript
chaînage, attaques HTTP et Ajax.
contre-mesures Validation des entrées
tests et principe des listes
expressions régulières, standards et filtres
Upload
failles et contre-mesures
Atelier
Exécution maligne d'un fichier téléchargé via le backoffice de BDPhilia..

Sécurité PHP : Cookies et Sessions

Cookies
Principes et risques.
Manipulation Javascript
Tableaux de cookies.
Sessions
Mode Cookie vs. Header
Principe du vol de session.

Sécuriser PHP : les bons réglages

PHP.ini
directives sensibles, sessions et erreurs
Protéger les scripts
protection physique.
exécution de scripts distants ou à la volée
Atelier
Réglage des options sensibles. Discussion sur les conséquences au niveau développement.

Sécurité PHP : Bases de Données

Failles potentielles.
risques : données et administration.
stockage
Injections SQL.
principe et contre-mesure.
procédures stockées et requêtes paramétrées.
limites.
Fichiers d'accès.
organisation et valeurs par défaut
Accès anonymes et protocoles
Atelier
Utiliser la pagination du moteur de recherche BDPhilia pour modifier des données et des droits.

Sécuriser l'emploi des extensions en PHP.

Se protéger contre le SPAM.
Spam via un formulaire de contact : Injections et contre-mesures
Atelier
Utiliser un formulaire de contact pour envoyer un mail à 3 adresses différentes.
Accès réseau par PHP.
Appels séquentiels et récursifs
Attaque furtive.
Atelier
Soumettre une url détournée.

La boîte à outils.

BFA.
Principe : Dictionnaire
Identification et Contre-mesures.
Atelier
Mise en oeuvre des outils nécessaires à une BFA.
Phishing.
Principe et Formation des utilisateurs.
Atelier
Analyse de différents cas, identification des victimes potentielles. DoS Quotas et gestion des charges.
Atelier
Mise en oeuvre d'une file d'attente pour la génération graphique de T-Shirts sur BDPhilia.
Mots de Passe.
Renforcement et stockage
Création et rappel
Atelier
Mise en oeuvre d'une inscription sécurisée pour l'espace client de BDPhilia.
Chiffrement et Signature.
Cryptage / décryptage : Implémentation PHP et MySql.
Atelier
Cryptage des données client.
Ruses de Sioux.
Pot de Miel, Obfuscation et Turing inversé.
Atelier
Créer un pot de miel pour l'admin du BO, obfusquer les formulaires de recherche en MD5 et appliquer un test de Turing inversé sur le formulaire de contact.
Frameworks et briques logicielles.
Gestion de la sécurité dans les développements composites
Audit de Sécurité.
Méthodologie de base, Cross-test et Rapport d'Audit.
Atelier Rédigez un rapport d'audit sur la version de base de BDPhilia, et sur les mesures prises pour améliorer la situation.