Exploiter et sécuriser les vulnérabilités des applications Java

Économisez sur les compétences qui vous font briller avec 40 % de réduction sur 3 mois de Coursera Plus. Économisez maintenant

Exploiter et sécuriser les vulnérabilités des applications Java

Ce cours fait partie de Spécialisation "Pratiques de codage sécurisées"

Instructeur : Joubin Jabbari

8 678 déjà inscrits

Inclus avec

4 modules

Obtenez un aperçu d'un sujet et apprenez les principes fondamentaux.

67 avis

niveau Intermédiaire

Certaines connaissances prérequises

2 semaines à compléter

à 10 heures par semaine

Planning flexible

Apprenez à votre propre rythme

4 modules

Obtenez un aperçu d'un sujet et apprenez les principes fondamentaux.

67 avis

niveau Intermédiaire

Certaines connaissances prérequises

2 semaines à compléter

à 10 heures par semaine

Planning flexible

Apprenez à votre propre rythme

Ce que vous apprendrez

Entraînez-vous à vous protéger contre les différents types d'attaques de type cross-site scripting (XSS).
Formulez des plans pour atténuer les vulnérabilités d'injection dans votre application web.
Créez des stratégies et des contrôles pour assurer une authentification sécurisée.
Examiner le code pour trouver les éléments vulnérables et les corriger.

Compétences que vous acquerrez

Catégorie : Techniques d'exploitation
Catégorie : Tests de sécurité
Catégorie : Contrôles de sécurité
Catégorie : Sécurité des applications
Catégorie : Analyse de dépendance
Catégorie : Autorisation (informatique)
Catégorie : Analyse de la vulnérabilité
Catégorie : Stratégie de sécurité
Catégorie : Test de pénétration
Catégorie : Authentifications
Catégorie : Évaluations de la vulnérabilité
Catégorie : Gestion de la vulnérabilité
Catégorie : Codage sécurisé
Catégorie : Gestion des correctifs
Catégorie : Examen du code
Catégorie : Java

Outils que vous découvrirez

Catégorie : Programmation Java
Catégorie : Projet ouvert de sécurité des applications web (OWASP)
Catégorie : Développement d'exploits
Catégorie : Docker (Logiciel)

Détails à connaître

Certificat partageable

Ajouter à votre profil LinkedIn

Évaluations

4 affectations¹

Noté par l'IA voir l'avis de non-responsabilité

Enseigné en Anglais

Découvrez comment les employés des entreprises prestigieuses maîtrisent des compétences recherchées

En savoir plus sur Coursera pour les affaires

logos de Petrobras, TATA, Danone, Capgemini, P&G et L'Oreal

Élaborez votre expertise du sujet

Ce cours fait partie de la Spécialisation "Pratiques de codage sécurisées"

Lorsque vous vous inscrivez à ce cours, vous êtes également inscrit(e) à cette Spécialisation.

Apprenez de nouveaux concepts auprès d'experts du secteur
Acquérez une compréhension de base d'un sujet ou d'un outil
Développez des compétences professionnelles avec des projets pratiques
Obtenez un certificat professionnel partageable

Il y a 4 modules dans ce cours

Dans ce cours, nous porterons plusieurs chapeaux. Avec notre chapeau d'attaquant, nous exploiterons les problèmes d'injection qui nous permettent de voler des données, nous exploiterons les problèmes de Cross Site Scripting pour compromettre le navigateur d'un utilisateur, nous briserons l'authentification pour accéder aux données et aux fonctionnalités réservées aux "administrateurs", et nous exploiterons même les composants vulnérables pour exécuter notre code sur un serveur distant et accéder à certains secrets. Nous porterons également des chapeaux de défenseur. Nous plongerons profondément dans le code pour résoudre la cause première de ces problèmes et discuterons de diverses stratégies d'atténuation. Pour ce faire, nous exploiterons WebGoat, un projet de l'OWASP conçu pour enseigner les tests de pénétration. WebGoat est une application délibérément vulnérable qui présente de nombreuses failles et nous nous efforçons de corriger certains de ces problèmes. Enfin, nous corrigeons ces problèmes dans WebGoat et construisons nos binaires corrigés. Ensemble, nous discuterons des ressources en ligne pour nous aider et nous trouverons des moyens significatifs de rendre service à la communauté de la sécurité des applications au sens large.

Dans ce module, vous serez en mesure d'utiliser Git et GitHub pour extraire le code source nécessaire. Vous serez en mesure d'exécuter WebGoat dans un conteneur Docker et d'expliquer les raisons de le faire. Vous serez en mesure de décrire les attaques par scripts intersites et d'expliquer comment ces attaques se produisent et comment s'en prémunir. Vous serez en mesure de différencier les attaques cross-site scripting basées sur DOM, réfléchies et stockées. Vous serez en mesure de vous entraîner à vous protéger contre différents types d'attaques de script intersites.

Inclus

14 vidéos3 lectures1 devoir1 évaluation par les pairs5 sujets de discussion

14 vidéosTotal 89 minutes

Introduction au cours4 minutes
Aperçu des ressources et des outils pour ce cours5 minutes
Configuration et introduction aux scripts intersites2 minutes
Conseils et astuces pour utiliser Git dans le cadre d'un cours ou d'un projet9 minutes
Comment importer WebGoat dans l'IDE8 minutes
Comment exécuter WebGoat dans un conteneur Docker ?6 minutes
Attaques par injection : Ce qu'elles sont et comment elles nous affectent10 minutes
Les scripts intersites (XSS), partie 110 minutes
Protection contre les scripts intersites (XSS), partie 29 minutes
Corrections des scripts intersites réfléchis (XSS), partie 36 minutes
Scripting intersite stocké (XSS)14 minutes
Dangers des attaques par scripts intersites (XSS)4 minutes
Note sur la recherche de leçons sur WebGoat1 minute
Introduction aux laboratoires (évaluation par les pairs)2 minutes

3 lecturesTotal 80 minutes

Une note de l'UC Davis10 minutes
Aide-mémoire de l'OWASP sur la prévention des scripts intersites60 minutes
Note sur les devoirs d'évaluation par les pairs10 minutes

1 devoirTotal 30 minutes

Quiz du module 130 minutes

1 évaluation par les pairsTotal 120 minutes

WebGoat Cross-Site Scripting (XSS)120 minutes

5 sujets de discussionTotal 95 minutes

Objectifs d'apprentissage10 minutes
Activité WebGoat : Essayez-le ! XSS réfléchi30 minutes
Activité WebGoat : Essayez-le ! XSS réfléchi (encore)20 minutes
L'importance de la prévention des attaques de type Cross Site Scripting (XSS)20 minutes
Forum de discussion ouvert du laboratoire Cross Site Scripting (XSS)15 minutes

Dans ce module, vous serez en mesure d'exploiter une vulnérabilité d'injection SQL et de former des plans pour atténuer les vulnérabilités d'injection dans votre application Web. Vous serez en mesure de discuter des différentes approches pour trouver et corriger les vulnérabilités des attaques XML, Entity et SQL. Vous serez en mesure de décrire et de vous protéger contre une attaque de type "man-in-the-middle" et de décrire le processus de réflexion pour trouver des vulnérabilités d'injection SQL en "mettant la casquette de l'attaquant". Vous serez en mesure de démontrer comment modifier correctement les requêtes pour les intégrer dans des instructions préparées et analyser le code en utilisant un visualiseur XML et un éditeur de texte pour trouver les vulnérabilités. Vous serez également en mesure de naviguer dans une grande base de code pour trouver des segments de code critiques et corriger les vulnérabilités.

Inclus

10 vidéos2 lectures1 devoir1 évaluation par les pairs3 sujets de discussion

10 vidéosTotal 80 minutes

Attaques par injection2 minutes
Tutoriel : Utilisation d'un proxy pour intercepter le trafic entre les clients et les serveurs7 minutes
Syntaxe et bases du langage SQL : Mettre le chapeau de l'attaquant10 minutes
Solution aux attaques par injection SQL (SQLi)8 minutes
Attaques par injection SQL : Évaluation du code13 minutes
Attaques par entités externes XML (XXE)8 minutes
Démonstration d'une attaque par entité externe XML (XXE) pour obtenir une exécution de code à distance (RCE)6 minutes
Évaluation du code - XXE par le biais d'un cadre REST8 minutes
Solution : Évaluation du code - XXE par le biais d'un cadre REST8 minutes
Corrections de la vulnérabilité XXE10 minutes

2 lecturesTotal 90 minutes

Aide-mémoire de l'OWASP sur la prévention des injections SQL45 minutes
Aide-mémoire de l'OWASP sur la prévention des entités externes XML45 minutes

1 devoirTotal 30 minutes

Quiz du module 230 minutes

1 évaluation par les pairsTotal 120 minutes

Injection SQL de WebGoat120 minutes

3 sujets de discussionTotal 75 minutes

Activité WebGoat : Essayez-le ! Injection SQL de chaîne de caractères30 minutes
Activité WebGoat : XXE (Entité Externe XML)30 minutes
Forum de discussion ouvert du laboratoire sur les attaques par injection15 minutes

Dans ce module, vous serez en mesure d'évaluer les failles d'authentification de différents types afin d'identifier les problèmes potentiels et de créer des stratégies et des contrôles pour fournir une authentification sécurisée. Vous serez en mesure de créer et/ou de mettre en œuvre des contrôles pour atténuer le contournement de l'authentification et de tirer des leçons de cas notables où d'autres n'ont pas réussi à authentifier les utilisateurs. Vous serez en mesure de mettre en œuvre correctement des méthodes d'authentification telles que les jetons Web JSON (JWT). Vous serez capable de trouver des vulnérabilités dans une large base de code et de fournir une solution pour démontrer et exploiter les jetons Web JSON (JWT).

Inclus

12 vidéos2 lectures1 devoir1 évaluation par les pairs3 sujets de discussion

12 vidéosTotal 56 minutes

Authentification et autorisation1 minute
Introduction aux failles d'authentification dans WebGoat1 minute
Exploit de contournement de l'authentification3 minutes
Conseils et astuces pour Burp Suite : Utilisez un proxy pour intercepter le trafic4 minutes
Solution au contournement de l'authentification : Évaluation du code8 minutes
Trouver des vulnérabilités et des failles logiques dans le code source11 minutes
Introduction aux jetons Web JSON (JWT) et au contournement de l'authentification1 minute
Faille d'authentification Jetons Web JSON (JWT)7 minutes
Démonstration de la solution : Exploitation des jetons Web JSON (JWT)8 minutes
Évaluation du code pour trouver la faille JSON Web Tokens (JWT)5 minutes
Vidéo conseil : (JWT) Correction du code vulnérable dans WebGoat1 minute
Solution pour corriger la faille JWT7 minutes

2 lecturesTotal 105 minutes

Aide-mémoire de l'OWASP sur l'autorisation des transactions60 minutes
Guide du débutant sur les JWT en Java"45 minutes

1 devoirTotal 30 minutes

Quiz du module 330 minutes

1 évaluation par les pairsTotal 120 minutes

Les failles d'authentification de WebGoat120 minutes

3 sujets de discussionTotal 75 minutes

Activité de WebGoat : Contournement de l'authentification30 minutes
Activité WebGoat : Jetons JWT30 minutes
Forum de discussion ouvert du laboratoire sur les failles d'authentification15 minutes

Dans ce module, vous serez en mesure d'utiliser le Dependency Checker de l'OWASP lors de l'analyse du code et de vérifier que vous avez des composants vulnérables dans le code. Vous serez en mesure d'examiner le code pour trouver et corriger les composants vulnérables. Vous serez capable d'appliquer ce que vous avez appris dans les activités des modules précédents pour finaliser votre projet final.

Inclus

5 vidéos3 lectures1 devoir1 évaluation par les pairs2 sujets de discussion

5 vidéosTotal 26 minutes

Dangers des composants vulnérables Introduction2 minutes
Composants vulnérables (bibliothèque XStream)9 minutes
Solution : Corriger les vulnérabilités avec XStream11 minutes
Introduction aux laboratoires (évaluation par les pairs)2 minutes
Résumé du cours1 minute

3 lecturesTotal 50 minutes

Article : Comment les pirates informatiques se sont emparés d'Equifax : Exploitation d'une vulnérabilité pouvant être corrigée10 minutes
Article : Exploitation de l'injection OGNL dans Apache Struts30 minutes
Note sur les devoirs d'évaluation par les pairs10 minutes

1 devoirTotal 5 minutes

Quiz pratique du module 45 minutes

1 évaluation par les pairsTotal 120 minutes

Composants vulnérables de WebGoat120 minutes

2 sujets de discussionTotal 40 minutes

Activité de WebGoat : Composants vulnérables30 minutes
Auto-réflexion10 minutes

Obtenez un certificat professionnel

Ajoutez ce titre à votre profil LinkedIn, à votre curriculum vitae ou à votre CV. Partagez-le sur les médias sociaux et dans votre évaluation des performances.

Instructeur

Évaluations de l’enseignant

(16 évaluations)

Joubin Jabbari

University of California, Davis

1 Cours8 678 apprenants

Offert par

University of California, Davis

En savoir plus sur Sécurité informatique et réseaux

University of California, Davis
Identifier les vulnérabilités en matière de sécurité
Cours
University of California, Davis
Identifier les vulnérabilités de sécurité dans la programmation C/C++
Cours
University of California, Davis
Principes du codage sécurisé
Cours

Pour quelles raisons les étudiants sur Coursera nous choisissent-ils pour leur carrière ?

Felipe M.

Étudiant(e) depuis 2018

’Pouvoir suivre des cours à mon rythme à été une expérience extraordinaire. Je peux apprendre chaque fois que mon emploi du temps me le permet et en fonction de mon humeur.’

Jennifer J.

Étudiant(e) depuis 2020

’J'ai directement appliqué les concepts et les compétences que j'ai appris de mes cours à un nouveau projet passionnant au travail.’

Larry W.

Étudiant(e) depuis 2021

’Lorsque j'ai besoin de cours sur des sujets que mon université ne propose pas, Coursera est l'un des meilleurs endroits où se rendre.’

Chaitanya A.

’Apprendre, ce n'est pas seulement s'améliorer dans son travail : c'est bien plus que cela. Coursera me permet d'apprendre sans limites.’

Avis des étudiants

5 stars
70,14 %
4 stars
14,92 %
3 stars
4,47 %
2 stars
2,98 %
1 star
7,46 %

Affichage de 3 sur 67

Révisé le 25 mai 2020

Great course, got lot to earn about vulnerabilities and their mitigation strategies

Révisé le 2 oct. 2019

course is good but it seems like, i am learner of this course..There is no one who can review my asginments -_-'

Révisé le 29 nov. 2020

Exploiting and Securing Vulnerabilities in Java Applications is by far the best course in this series. There are practical examples, live coding, and well organized.

Voir plus d’avis

Foire Aux Questions

Pour accéder aux supports de cours, aux devoirs et pour obtenir un certificat, vous devez acheter l'expérience de certificat lorsque vous vous inscrivez à un cours. Vous pouvez essayer un essai gratuit ou demander une aide financière. Le cours peut proposer l'option "Cours complet, pas de certificat". Cette option vous permet de consulter tous les supports de cours, de soumettre les évaluations requises et d'obtenir une note finale. Cela signifie également que vous ne pourrez pas acheter un certificat d'expérience.

Lorsque vous vous inscrivez au cours, vous avez accès à tous les cours de la spécialisation et vous obtenez un certificat lorsque vous terminez le travail. Votre certificat électronique sera ajouté à votre page Réalisations - de là, vous pouvez imprimer votre certificat ou l'ajouter à votre profil LinkedIn.

Oui, pour certains programmes de formation, vous pouvez demander une aide financière ou une bourse si vous n'avez pas les moyens de payer les frais d'inscription. Si une aide financière ou une bourse est disponible pour votre programme de formation, vous trouverez un lien pour postuler sur la page de description.

Plus de questions

Visitez le Centre d'Aide pour les Étudiants

Aide financière disponible,

¹ Certains travaux de ce cours sont notés par l'IA. Pour ces travaux, vos Données internes seront utilisées conformément à Notification de confidentialité de Coursera.