Exploiter et sécuriser les vulnérabilités des applications Java

Saisissez l'occasion de faire des économies ! Bénéficiez de 40 % de réduction sur 3 mois de Coursera Plus et d'un accès complet à des milliers de cours.

Exploiter et sécuriser les vulnérabilités des applications Java

Ce cours fait partie de Spécialisation "Pratiques de codage sécurisées"

Instructeur : Joubin Jabbari

8 549 déjà inscrits

Inclus avec

4 modules

Obtenez un aperçu d'un sujet et apprenez les principes fondamentaux.

66 avis

niveau Intermédiaire

Certaines connaissances prérequises

2 semaines à compléter

à 10 heures par semaine

Planning flexible

Apprenez à votre propre rythme

4 modules

Obtenez un aperçu d'un sujet et apprenez les principes fondamentaux.

66 avis

niveau Intermédiaire

Certaines connaissances prérequises

2 semaines à compléter

à 10 heures par semaine

Planning flexible

Apprenez à votre propre rythme

Ce que vous apprendrez

Entraînez-vous à vous protéger contre les différents types d'attaques de type cross-site scripting (XSS).
Formulez des plans pour atténuer les vulnérabilités d'injection dans votre application web.
Créez des stratégies et des contrôles pour assurer une authentification sécurisée.
Examiner le code pour trouver les éléments vulnérables et les corriger.

Compétences que vous acquerrez

Catégorie : Vulnerability Management
Catégorie : Code Review
Catégorie : Application Security
Catégorie : Vulnerability Assessments
Catégorie : Dependency Analysis
Catégorie : Secure Coding
Catégorie : Penetration Testing
Catégorie : Authentications
Catégorie : Authorization (Computing)
Catégorie : Java

Outils que vous découvrirez

Catégorie : Git (Version Control System)
Catégorie : JSON
Catégorie : Exploit development
Catégorie : Open Web Application Security Project (OWASP)
Catégorie : Java Programming
Catégorie : Docker (Software)

Détails à connaître

Certificat partageable

Ajouter à votre profil LinkedIn

Évaluations

4 affectations¹

Noté par l'IA voir l'avis de non-responsabilité

Enseigné en Anglais

Découvrez comment les employés des entreprises prestigieuses maîtrisent des compétences recherchées

En savoir plus sur Coursera pour les affaires

logos de Petrobras, TATA, Danone, Capgemini, P&G et L'Oreal

Élaborez votre expertise du sujet

Ce cours fait partie de la Spécialisation "Pratiques de codage sécurisées"

Lorsque vous vous inscrivez à ce cours, vous êtes également inscrit(e) à cette Spécialisation.

Apprenez de nouveaux concepts auprès d'experts du secteur
Acquérez une compréhension de base d'un sujet ou d'un outil
Développez des compétences professionnelles avec des projets pratiques
Obtenez un certificat professionnel partageable

Il y a 4 modules dans ce cours

Dans ce cours, nous porterons plusieurs chapeaux. Avec notre chapeau d'attaquant, nous exploiterons les problèmes d'injection qui nous permettent de voler des données, nous exploiterons les problèmes de Cross Site Scripting pour compromettre le navigateur d'un utilisateur, nous briserons l'authentification pour accéder aux données et aux fonctionnalités réservées aux "administrateurs", et nous exploiterons même les composants vulnérables pour exécuter notre code sur un serveur distant et accéder à certains secrets. Nous porterons également des chapeaux de défenseur. Nous plongerons profondément dans le code pour résoudre la cause première de ces problèmes et discuterons de diverses stratégies d'atténuation. Pour ce faire, nous exploiterons WebGoat, un projet de l'OWASP conçu pour enseigner les tests de pénétration. WebGoat est une application délibérément vulnérable qui présente de nombreuses failles et nous nous efforçons de corriger certains de ces problèmes. Enfin, nous corrigeons ces problèmes dans WebGoat et construisons nos binaires corrigés. Ensemble, nous discuterons des ressources en ligne pour nous aider et nous trouverons des moyens significatifs de rendre service à la communauté de la sécurité des applications au sens large.

Dans ce module, vous serez en mesure d'utiliser Git et GitHub pour extraire le code source nécessaire. Vous serez en mesure d'exécuter WebGoat dans un conteneur Docker et d'expliquer les raisons de le faire. Vous serez en mesure de décrire les attaques par scripts intersites et d'expliquer comment ces attaques se produisent et comment s'en prémunir. Vous serez en mesure de différencier les attaques cross-site scripting basées sur DOM, réfléchies et stockées. Vous serez en mesure de vous entraîner à vous protéger contre différents types d'attaques de script intersites.

Inclus

14 vidéos3 lectures1 devoir1 évaluation par les pairs5 sujets de discussion

14 vidéos Total 89 minutes

Introduction au cours 4 minutes
Aperçu des ressources et des outils pour ce cours 5 minutes
Configuration et introduction aux scripts intersites 2 minutes
Conseils et astuces pour utiliser Git dans le cadre d'un cours ou d'un projet 9 minutes
Comment importer WebGoat dans l'IDE 8 minutes
Comment exécuter WebGoat dans un conteneur Docker ? 6 minutes
Attaques par injection : Ce qu'elles sont et comment elles nous affectent 10 minutes
Les scripts intersites (XSS), partie 1 10 minutes
Protection contre les scripts intersites (XSS), partie 2 9 minutes
Corrections des scripts intersites réfléchis (XSS), partie 3 6 minutes
Scripting intersite stocké (XSS) 14 minutes
Dangers des attaques par scripts intersites (XSS) 4 minutes
Note sur la recherche de leçons sur WebGoat 1 minute
Introduction aux laboratoires (évaluation par les pairs) 2 minutes

3 lectures Total 80 minutes

Une note de l'UC Davis 10 minutes
Aide-mémoire de l'OWASP sur la prévention des scripts intersites 60 minutes
Note sur les devoirs d'évaluation par les pairs 10 minutes

1 devoir Total 30 minutes

Quiz du module 1 30 minutes

1 évaluation par les pairs Total 120 minutes

WebGoat Cross-Site Scripting (XSS) 120 minutes

5 sujets de discussion Total 95 minutes

Objectifs d'apprentissage 10 minutes
Activité WebGoat : Essayez-le ! XSS réfléchi 30 minutes
Activité WebGoat : Essayez-le ! XSS réfléchi (encore) 20 minutes
L'importance de la prévention des attaques de type Cross Site Scripting (XSS) 20 minutes
Forum de discussion ouvert du laboratoire Cross Site Scripting (XSS) 15 minutes

Dans ce module, vous serez en mesure d'exploiter une vulnérabilité d'injection SQL et de former des plans pour atténuer les vulnérabilités d'injection dans votre application Web. Vous serez en mesure de discuter des différentes approches pour trouver et corriger les vulnérabilités des attaques XML, Entity et SQL. Vous serez en mesure de décrire et de vous protéger contre une attaque de type "man-in-the-middle" et de décrire le processus de réflexion pour trouver des vulnérabilités d'injection SQL en "mettant la casquette de l'attaquant". Vous serez en mesure de démontrer comment modifier correctement les requêtes pour les intégrer dans des instructions préparées et analyser le code en utilisant un visualiseur XML et un éditeur de texte pour trouver les vulnérabilités. Vous serez également en mesure de naviguer dans une grande base de code pour trouver des segments de code critiques et corriger les vulnérabilités.

Inclus

10 vidéos2 lectures1 devoir1 évaluation par les pairs3 sujets de discussion

10 vidéos Total 80 minutes

Attaques par injection 2 minutes
Tutoriel : Utilisation d'un proxy pour intercepter le trafic entre les clients et les serveurs 7 minutes
Syntaxe et bases du langage SQL : Mettre le chapeau de l'attaquant 10 minutes
Solution aux attaques par injection SQL (SQLi) 8 minutes
Attaques par injection SQL : Évaluation du code 13 minutes
Attaques par entités externes XML (XXE) 8 minutes
Démonstration d'une attaque par entité externe XML (XXE) pour obtenir une exécution de code à distance (RCE) 6 minutes
Évaluation du code - XXE par le biais d'un cadre REST 8 minutes
Solution : Évaluation du code - XXE par le biais d'un cadre REST 8 minutes
Corrections de la vulnérabilité XXE 10 minutes

2 lectures Total 90 minutes

Aide-mémoire de l'OWASP sur la prévention des injections SQL 45 minutes
Aide-mémoire de l'OWASP sur la prévention des entités externes XML 45 minutes

1 devoir Total 30 minutes

Quiz du module 2 30 minutes

1 évaluation par les pairs Total 120 minutes

Injection SQL de WebGoat 120 minutes

3 sujets de discussion Total 75 minutes

Activité WebGoat : Essayez-le ! Injection SQL de chaîne de caractères 30 minutes
Activité WebGoat : XXE (Entité Externe XML) 30 minutes
Forum de discussion ouvert du laboratoire sur les attaques par injection 15 minutes

Dans ce module, vous serez en mesure d'évaluer les failles d'authentification de différents types afin d'identifier les problèmes potentiels et de créer des stratégies et des contrôles pour fournir une authentification sécurisée. Vous serez en mesure de créer et/ou de mettre en œuvre des contrôles pour atténuer le contournement de l'authentification et de tirer des leçons de cas notables où d'autres n'ont pas réussi à authentifier les utilisateurs. Vous serez en mesure de mettre en œuvre correctement des méthodes d'authentification telles que les jetons Web JSON (JWT). Vous serez capable de trouver des vulnérabilités dans une large base de code et de fournir une solution pour démontrer et exploiter les jetons Web JSON (JWT).

Inclus

12 vidéos2 lectures1 devoir1 évaluation par les pairs3 sujets de discussion

12 vidéos Total 56 minutes

Authentification et autorisation 1 minute
Introduction aux failles d'authentification dans WebGoat 1 minute
Exploit de contournement de l'authentification 3 minutes
Conseils et astuces pour Burp Suite : Utilisez un proxy pour intercepter le trafic 4 minutes
Solution au contournement de l'authentification : Évaluation du code 8 minutes
Trouver des vulnérabilités et des failles logiques dans le code source 11 minutes
Introduction aux jetons Web JSON (JWT) et au contournement de l'authentification 1 minute
Faille d'authentification Jetons Web JSON (JWT) 7 minutes
Démonstration de la solution : Exploitation des jetons Web JSON (JWT) 8 minutes
Évaluation du code pour trouver la faille JSON Web Tokens (JWT) 5 minutes
Vidéo conseil : (JWT) Correction du code vulnérable dans WebGoat 1 minute
Solution pour corriger la faille JWT 7 minutes

2 lectures Total 105 minutes

Aide-mémoire de l'OWASP sur l'autorisation des transactions 60 minutes
Guide du débutant sur les JWT en Java" 45 minutes

1 devoir Total 30 minutes

Quiz du module 3 30 minutes

1 évaluation par les pairs Total 120 minutes

Les failles d'authentification de WebGoat 120 minutes

3 sujets de discussion Total 75 minutes

Activité de WebGoat : Contournement de l'authentification 30 minutes
Activité WebGoat : Jetons JWT 30 minutes
Forum de discussion ouvert du laboratoire sur les failles d'authentification 15 minutes

Dans ce module, vous serez en mesure d'utiliser le Dependency Checker de l'OWASP lors de l'analyse du code et de vérifier que vous avez des composants vulnérables dans le code. Vous serez en mesure d'examiner le code pour trouver et corriger les composants vulnérables. Vous serez capable d'appliquer ce que vous avez appris dans les activités des modules précédents pour finaliser votre projet final.

Inclus

5 vidéos3 lectures1 devoir1 évaluation par les pairs2 sujets de discussion

5 vidéos Total 26 minutes

Dangers des composants vulnérables Introduction 2 minutes
Composants vulnérables (bibliothèque XStream) 9 minutes
Solution : Corriger les vulnérabilités avec XStream 11 minutes
Introduction aux laboratoires (évaluation par les pairs) 2 minutes
Résumé du cours 1 minute

3 lectures Total 50 minutes

Article : Comment les pirates informatiques se sont emparés d'Equifax : Exploitation d'une vulnérabilité pouvant être corrigée 10 minutes
Article : Exploitation de l'injection OGNL dans Apache Struts 30 minutes
Note sur les devoirs d'évaluation par les pairs 10 minutes

1 devoir Total 5 minutes

Quiz pratique du module 4 5 minutes

1 évaluation par les pairs Total 120 minutes

Composants vulnérables de WebGoat 120 minutes

2 sujets de discussion Total 40 minutes

Activité de WebGoat : Composants vulnérables 30 minutes
Auto-réflexion 10 minutes

Obtenez un certificat professionnel

Ajoutez ce titre à votre profil LinkedIn, à votre curriculum vitae ou à votre CV. Partagez-le sur les médias sociaux et dans votre évaluation des performances.

Instructeur

Évaluations de l’enseignant

(16 évaluations)

Joubin Jabbari

University of California, Davis

1 Cours 8 549 apprenants

Offert par

University of California, Davis

En savoir plus sur Sécurité informatique et réseaux

Statut : Essai gratuit
University of California, Davis
Identifying Security Vulnerabilities
Cours
Statut : Essai gratuit
Packt
Exploit Development, Malware, & Defensive Strategies
Cours
Statut : Essai gratuit
IBM
Application Security for Developers and DevOps Professionals
Cours
Packt
Web Hacking Expert - Full-Stack Exploitation Mastery
Cours

Pour quelles raisons les étudiants sur Coursera nous choisissent-ils pour leur carrière ?

Felipe M.

Étudiant(e) depuis 2018

’Pouvoir suivre des cours à mon rythme à été une expérience extraordinaire. Je peux apprendre chaque fois que mon emploi du temps me le permet et en fonction de mon humeur.’

Jennifer J.

Étudiant(e) depuis 2020

’J'ai directement appliqué les concepts et les compétences que j'ai appris de mes cours à un nouveau projet passionnant au travail.’

Larry W.

Étudiant(e) depuis 2021

’Lorsque j'ai besoin de cours sur des sujets que mon université ne propose pas, Coursera est l'un des meilleurs endroits où se rendre.’

Chaitanya A.

’Apprendre, ce n'est pas seulement s'améliorer dans son travail : c'est bien plus que cela. Coursera me permet d'apprendre sans limites.’

Avis des étudiants

5 stars
71,21 %
4 stars
15,15 %
3 stars
4,54 %
2 stars
3,03 %
1 star
6,06 %

Affichage de 3 sur 66

Révisé le 25 mai 2020

Great course, got lot to earn about vulnerabilities and their mitigation strategies

Révisé le 22 juin 2020

Excellent and really helpful material... By far the best and most interesting course in the series!

Révisé le 2 oct. 2019

course is good but it seems like, i am learner of this course..There is no one who can review my asginments -_-'

Voir plus d’avis

Ouvrez de nouvelles portes avec Coursera Plus

Accès illimité à 10,000+ cours de niveau international, projets pratiques et programmes de certification prêts à l'emploi - tous inclus dans votre abonnement.

Faites progresser votre carrière avec un diplôme en ligne

Obtenez un diplôme auprès d’universités de renommée mondiale - 100 % en ligne

Découvrir les diplômes

Rejoignez plus de 3 400 entreprises mondiales qui ont choisi Coursera pour les affaires

Améliorez les compétences de vos employés pour exceller dans l’économie numérique

Foire Aux Questions

Pour accéder aux supports de cours, aux devoirs et pour obtenir un certificat, vous devez acheter l'expérience de certificat lorsque vous vous inscrivez à un cours. Vous pouvez essayer un essai gratuit ou demander une aide financière. Le cours peut proposer l'option "Cours complet, pas de certificat". Cette option vous permet de consulter tous les supports de cours, de soumettre les évaluations requises et d'obtenir une note finale. Cela signifie également que vous ne pourrez pas acheter un certificat d'expérience.

Lorsque vous vous inscrivez au cours, vous avez accès à tous les cours de la spécialisation et vous obtenez un certificat lorsque vous terminez le travail. Votre certificat électronique sera ajouté à votre page Réalisations - de là, vous pouvez imprimer votre certificat ou l'ajouter à votre profil LinkedIn.

Oui, pour certains programmes de formation, vous pouvez demander une aide financière ou une bourse si vous n'avez pas les moyens de payer les frais d'inscription. Si une aide financière ou une bourse est disponible pour votre programme de formation, vous trouverez un lien de demande sur la page de description.

Plus de questions

Visitez le Centre d'Aide pour les Étudiants

Aide financière disponible,

¹ Certains travaux de ce cours sont notés par l'IA. Pour ces travaux, vos Données internes seront utilisées conformément à Notification de confidentialité de Coursera.