Sécurité Web PHP

Introduction

• Vue d’ensemble rapide de la gestion des risques
• Qu’est-ce qu’une faille et comment elle devient une vulnérabilité?
• Préparations des outils à utiliser
• Directives générales à propos des correctifs
• Les tests et pourquoi vous pouvez en faire plus que n’importe qui
• Solution du bout de code présenté dans la section “Participant cible”

Trouver et corriger les vulnérabilités

Cette partie sera itérative sur tous les sujets durant la journée. PHP, Drupal, Symfony, Zend:

• Faille: Trouver et comprendre une faille dans le code
• Attaque: Exploitation guidée d’une vulnérabilité trouvée
• Solution: Ce qu’il faut faire pour la corriger
• Vérification: Effectuer des tests pour s’assurer que la faille est corrigée

Par exemple, nous exploiterons une faille implémenté en Drupal qui permet d’accéder à la base de donnée et par la suite nous allons corriger l’erreur dans le code, pour finalement vérifier que la vulnérabilité n’est plus présente.

Conclusion

• Revue des directives pour chaque technologie
• Comment vous pouvez aider avec la gestion des risques
• Questions et réponses générales

Participant cible

Le participant cible est parmi les développeurs PHP qui ne sont pas déjà conscient des méthodes sécuritaires et/ou veulent un aperçu de la perspective d’un attaquant.

Si vous savez comment exécuter le code ci-dessous sans aucune erreur, notice ou avertissement en moins de deux minutes, cette formation n’est peut-être pas pour vous.

<?php

$parts = array('PHP', 'Drupal', 'Symfony', 'Zend');

foreach ($parts as $p) {
        echo $p;
        eval($_GET['Faille'] . $p);
        mysql_query($_GET['Attaque'] . $p);
        file_get_contents($_POST['Solution'] . $p);
        if (system($_COOKIE['Verification'] . $p))
                continue;
        else
                exit;
}

?>

Détails de la formation

• Durée: 1 journée (lundi, 27 février)
• Coût: 400$
• Capacité maximale: 8
• Matériel requis: un ordinateur portatif possédant un lecteur DVD et une connexion réseau