arrow
Zeréck

REST API - Bonnes pratiques et sécurité

ORSYS Luxembourg

Luxembourg

Start: 23/08/2021

Objektiver

Cette formation vous permettra de découvrir les bonnes pratiques de conception, de développement et d’architecture des APIs ReST, les outils associés ainsi que les vulnérabilités les plus communes et les meilleurs moyens de s’en prémunir.

Objectifs pédagogiques:
  • Découvrir les bonnes pratiques de conception, de développement et d’architecture des APIs ReST
  • Prendre en main les outils qui vous accompagneront de la conception au déploiement et la supervision de vos APIs
  • Découvrir les menaces auxquelles s’exposent vos API
  • Découvrir les vulnérabilités les plus fréquentes
  • Savoir repérer les points faibles d’une API puis la protéger

Beschreiwung

Introduction aux APIs ReST
  • L’écosystème moderne.
  • Roy Thomas FIELDING: père du ReST.
  • Richardson’s maturity model ou Web Service Maturity Heuristic.
  • H.A.T.E.O.A.S., Resource Linking and Semantic Web.
  • Conventions et bonnes pratiques
  • Pragmatisme, idéologie et ReSTafarians.
  • Les conventions.
  • Les différentes approches de versioning.
  • Tips, tricks et bonnes pratiques de conception et de développement.
  • Les "standards" ou presque.

Travaux pratiques: Conception d’une API ReST.

La boîte à outils
  • Conception d’APIs ReST avec OpenAPI et Swagger.
  • Debug et testing avec Postman.
  • Sandbox. JSON Generator. JSON Server.

Travaux pratiques: Spécification d’une API ReST avec Swagger. Test d’une API ReST avec Postman. Implémentation d’une API ReST.

Rappels sur la sécurité:
  • Menaces et impacts potentiels.
  • Les 4 principes de la sécurité informatique.
  • Présentation de l'OWASP TOP 10.
  • Authentification et autorisation
  • Sécurité de l’authentification. Cookies are evil.
  • CORS et CSRF. Anti-farming et rate-limiting (ou throttling).
  • Autorisation et gestion des permissions.
  • Les différents niveaux de granularité des mécanismes de gestion de permissions.
  • Role-Based Access Control versus Resource-Based Access Control.
  • OAuth2 et OpenID Connect.

Travaux pratiques: Recherche et exploitation de vulnérabilités d’authentification et d’autorisation avec Websheep.

Autres vulnérabilités
  • Canonicalization, Escaping et Sanitization.
  • Injection (code, SQL, NoSQL, données...).
  • Data ou cache Poisoning. ReDoS.

Travaux pratiques: Recherche et exploitation de vulnérabilités avec Websheep.

J.W.T.
  • Rappels sur la cryptographie.
  • J.O.S.E.: J.W.K., J.W.S., J.W.E et J.W.T.
  • J.W.T.: fonctionnement, risques associés et bonnes pratiques. Vulnérabilités J.W.T.

Travaux pratiques: Recherche et exploitation de vulnérabilités avec Websheep.

API ManagementIntérêts et fonctionnalités des solutions d’API Management.

API management dans le Cloud avec Apigee.
API management On Premise avec Kong.

Sproochen: FR
Präis: 2398.5 €
Dauer: 3 Dag(Deeg)
Méi Informatiounen