HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Conferences > E-business Security Tutorial
Go to: HSC Trainings
Télécharger le catalogue des formations
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Bulletin juridique HSC
o Press review
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|E-business Security Tutorial  
blah Conferences
See also...
o Training sessions planning
o Reed-OIP Tutorial - Advanced Intrusion Detection
o Location and date
o Organizer and registration
o Goals and public
o Duration
o Agenda


Location and date

Date: 5 December 2001, at the CNIT La Défense (Paris)

Context: Tutorial organized within the salon de la sécurité informatique


Organizer and registration

Reed Exhibitions
Reed Exhibitions

Mail: securite@reedexpo.fr
Phone: +33 (0) 141 904 702
Fax: +33 (0) 141 904 769

Online registration


Goals and public

Ce tutoriel présente une vue globale de la problématique de la sécurité dans le commerce électronique, et comment s'organiser en conséquence. Le tutoriel début par des exemples concrets d'attaques, et traite l'ensemble des technologies et des architecture du serveur web au back-office, en passant par SSL et XML. Il permet d'apprendre à intégrer la sécurité dans son projet de commerce électronique et à bâtir des solutions de commerce électronique robustes et sécurisées.

Ce tutoriel s'adresse aux responsables de sécurité, aux responsables informatique, aux chef de projet commerce électronique, aux architectes commerce électronique, aux ingénieurs travaillant dans le monde du commerce électronique.


Duration


Agenda

This tutorial lasts one day; it is taught in French.

  • Les attaques contre les systèmes de commerce électronique
    • Techniques d'intrusions des serveurs WWW et applications du commerce électronique
      • HTTP
      • Envoi de cookie
      • Envoi de données à des scripts distants
      • Suppression des contrôles Javascript
      • Visualisation de l'authentification
      • HTTPS
    • Dénis de service
      • Techniques de dénis de service
      • Les denis de services répartis
      • Exemple d'inondation
      • Exemple d'attaque en dénis de service sur HTTPS avec Shutup
    • Techniques d'attaque sur le DNS
      • Rôle du DNS
      • exemple d'attaque sur le DNS
      • vol de nom de domaine
    • Conséquences des attaques
  • Architectures sécurisées de commerce électronique
    • Les architecture multi-strates (n-tier)
    • Le contrôle d'accès
    • Le cloisonnement par le filtrage IP
    • Utilités et limites des architectures multi-strates
    • La haute-disponibilité
      • Exemple avec IP-Filter
  • Les systèmes de sécurité internet (firewalls)
    • Fonctionnement d'un filtre IP
    • Fonctions de sécurité
    • Limites d'un filtre IP
    • Utilisation des relais applicatifs
    • Usages des réseaux privés virtuels chiffrés (VPN)
  • Sécurité des serveurs WWW
    • Sécurisation du serveur WWW
      • Exemples sur Apache
    • Sécurisation du système d'exploitation
      • Exemple sur Linux et Windows 2000
    • Scellement du système
    • Gestions des correctifs de sécurité
  • Intégration des outils
    • Sécurisation des developpements
      • exemples Shellscript Unix, Perl, ASP, PHP, Java Servlet
      • principe du débordement de buffer
      • recommandations
    • Exemples d'achitectures sécurisées
      • Linux, Apache, PHP, MySQL
      • Windows 2000, IIS, ASP, DCOM, SQLServer
      • Solaris, Netscape, Servlets
      • Exemple d'architecture avec des logiciels personalisation (Broadvision, Signature, etc)
      • Exemple d'architecture avec des logiciels de CRM
  • Sécurisation des échanges
    • Le protocole SSL/TLS
      • Principes
      • Implémentations
      • Exemple d'Achilles
      • Exemple de dsniff webmitm
    • Les certificats serveur
      • Rôle du certificat
      • Exemple d'une attaque sur HTTPS
      • Recommendations pour les utilisateurs
    • Authentification des utilisateurs
      • Authentification basique
      • Authentification HTTP
      • Authentification WNT (dans le cas d'IIS)
      • Certificat
      • Utilisations de serveurs LDAP
    • Les certificats client
    • Gestion des sessions
      • Cookie
      • Champs cachés
      • Session-ID
    • Limites de la sécurisation des échanges
      • Exemple d'erreurs
  • Sécurité XML
    • Les principes de XML
    • Les signatures XML
      • exemple d'architecture avec Webmethods
    • Le chiffrement XML
    • Les protocoles d'échange SOAP et XML-RPC
    • Les risques
      • classiques
      • exemples d'attaques sur l'API DOM avec SOAP ou XML-RPC
      • les canaux cachés / contournement de firewall
  • La détection d'intrusion
    • Description de la détection d'intrusion
      • exemple d'utilisation de snort
    • Limites de la détection d'intrusion
    • La journalisation
  • Méthodologie
    • Processus d'intégration de la sécurité dans le projet
    • La plateforme de tests ou validation ou homologation
    • Intégration de la sécurité dans l'architecture
    • Analyse externe de l'architecture réseau et applicative retenue
    • Sécurité dans le développement des applications
    • Rôles et responsabilités
    • Formalisation des procédures d'exploitation
    • Procédures d'urgence en cas de problème
      • défigurations de son serveur (defacement), dénis de service, etc
    • Plan de secours
    • Audit par un tiers
    • Tests d'intrusions
    • Modèles économiques
    • Infogérance
  • Pourquoi nous n'avons pas parlé de
    • Internet Explorer
    • Carte à puce
    • SET, CSET
    • PKI
  • Conclusion
  • Ressources
Last modified on 2 June 2006 at 14:07:46 CET - webmaster@hsc.fr
Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants