6 Novembre - Formations

Technical level: INTERMEDIATE
Formation en Anglais

Course plan:

1. IT security and secure coding
- Software security basics
- From security flaws to cyber crime
- Classification of security flaws
2. Web vulnerabilities in Java (with exercises)
- Injection flaws (SQL, command, etc.)
- Cross-site Scripting (XSS ? persistent and reflected)
- Cross-site Request Forgery (CSRF)
- Insecure direct object reference
- Malicious file execution
3. Java-specific vulnerabilities (with exercises)
- Input validation (unsafe JNI, deserialization problems, integer overflows in Java, unsafe reflection, …)
- Improper use of security features (randomness, password management, …)
- Improper error and exception handling (correct exception throwing and catching, error reporting, …)
- Concurrency and threading (thread handling, race conditions, synchronizing, …)
- Code quality problems (unreleased resources, object hijacking, immutability, magic float crash, …)
- Mobile code (critical publics, problem with inner classes, …)

Prerequisite: a laptop computer with at least 7 Gb of free HD space. A VMWare Player can be installed in advance which is necessary to run the exercises, but
this will be also distributed together with the virtual machine at the start of the training (takes 1-2 minutes to install).

Niveau technique : novice, pratiquant

Formation en Français

Cette formation amènera le participant à expérimenter avec différentes méthodes de programmation sécuritaire en PHP. La perspective d’un attaquant sera utilisée.

Le participant sera donc en mesure de comprendre la mécanique d’une attaque réelle, d’identifier le code fautif, d’en évaluer l’impact et d’appliquer les corrections nécessaires.

Plan de cours
Sous la forme d’un atelier, chaque partie est un exercice pour les participants à l’aide d’exemples exclusifs en PHP, Drupal, Symfony et Zend.

Principes d’injection
Outils et méthodes de tests

Trouver et corriger les vulnérabilités
Les étapes suivantes seront itératives sur une multitude d’exemples selon la préférence des participants.

Faille: Découverte et compréhension
Attaque: Exploitation guidée d’une vulnérabilité
Solution: Principes d’applications sécurisées et correction
Vérification: Test de validation de la vulnérabilité corrigée

La formation inclue un Live CD Linux (support physique DVD ou fichier ISO) qui contient l’environnement de test, les outils, les exemples et les solutions.

Matériel à apporter pour le cours: ordinateur portable possédant un lecteur DVD pour démarrer avec le Live CD ou une solution de virtualisation.

Niveau technique idéal des participants: pratiquant mais le cours est concu pour convenir à tous les niveaux
Formation en Français

Plan du cours:

Partie I

- Introduction rapide à iOS et à la sécurité de la plateforme iOS
- Présentation de l’environnement du cours (Mac virtuels, xCode, etc.)
- iOS et OWASP, le projet OWASP Mobile Security
- Les problèmes de sécurité les plus fréquents dans les applications iOS

Partie II

- Attaques locales
. Désassemblage, décompilation, artefacts de l’application, introduction à IDA Pro
. Exemples de bonnes implémentations sous forme d’exercices (Labs)
- Les attaques distantes
. Interception des communications, attaques « Man-In-The-Middle » contre le SSL
. Exemples de bonnes implémentations sous forme d’exercices (Labs)

Partie III

- Techniques avancées (suivant le temps disponible)
. Attaque de passcode
. Modification à la volée du comportement des applications iOS

Cette formation est à 70% pratique (exercices/labs)

Matériel : Un laptop (Windows, Linux, Mac OS X, etc.)Rien d’autre, je viens avec le matériel. Si les participants veulent venir avec leur iPhone ou iPad, ils peuvent mais cela n’est pas nécessaire.