February 28 - March 1, 2013
Montreal, Canada

Sécurité Web PHP - de l'exploitation à la correction

Cet atelier amènera le participant à expérimenter avec les différents risques du développement PHP à l'aide d'exemples pratiques exécutés dans un environnement virtuel. Le tout sera transmis avec une emphase sur l'impact d'une attaque, puisque chaque vulnérabilité sera exploitée. L'objectif final est donc d'apprendre comment briser et réparer une application Web PHP dans la réalité d'aujourd'hui.

Le participant cible est parmi les développeurs PHP qui ne sont pas déjà conscient des méthodes sécuritaires et/ou veulent un aperçu de la perspective d'un attaquant.

À la fin de la formation, le participant sera en mesure de comprendre la mécanique d'une attaque réelle, d'identifier le code fautif, d'en évaluer l'impact et d'appliquer les corrections nécessaires.

Sujets couverts

Sous la forme d'un atelier, chaque partie est un exercice pour les participants à l'aide d'exemples exclusifs en PHP, Drupal, Symfony et Zend.

  • Introduction générale à la sécurité
  • Principes d'injection
  • Outils et méthodes de tests
  • Trouver et corriger les vulnérabilités
    Les étapes suivantes seront itératives sur une multitude d'exemples selon la préférence des participants :
    • Faille: Découverte et compréhension
    • Attaque: Exploitation guidée d'une vulnérabilité
    • Solution: Principes d'applications sécurisées et correction
    • Vérification: Test de validation de la vulnérabilité corrigée
  • Conclusion sur l'utilisation des acquis

La formation inclue un Live CD Linux (support physique DVD, USB ou fichier ISO) qui contient l'environnement de test, les outils, les exemples et les solutions.

Matériel requis : ordinateur portable possédant soit un lecteur DVD, un port USB ou une solution de virtualisation (VirtualBox est conseillé).

Jonathan Marcil

Jonathan likes being involved in many communities events and in ConFoo, he keeps track of security related talks and OWASP visibility. His main occupation is consulting in Web security, but deep down he is a developer with a agnostic vision of programming languages. He has a diploma in Software Engineering from Ecole de Technologie Superieure and more than 10 years of experience in Information Technology and Security.

Read More

Sponsored by

Media