Sécurité des API Rest

Les API REST sont devenues le vecteur d’échange principal entre applications, mais aussi une cible privilégiée des attaquants. Cette formation de 3 jours enseigne les bonnes pratiques de conception sécurisée, les vulnérabilités spécifiques aux API (OWASP API Security Top 10) et les mécanismes d’authentification modernes (OAuth2, JWT). Les développeurs repartent avec les compétences pour auditer et protéger leurs API en production.

Public visé

Développeurs Web Front End et Back End, architectes, chefs de projets techniques.

Objectifs pédagogiques

À l’issue de cette formation, vous serez capable de :

• Décrire les bonnes pratiques de conception, de développement et d’architecture des API REST (dans les 4 principaux langages : Python, PHP, Java, .NET)
• Concevoir, déployer et superviser des API
• Identifier les menaces auxquelles s’exposent vos API
• Distinguer les vulnérabilités les plus fréquentes
• Repérer les points faibles d’une API puis la protéger

Programme

Jour 1 - Matin

Introduction aux API

• Evolution des applications et concept d’API
• REST vs SOAP
• Requêter vers une API

Conventions et bonnes pratiques

• Les conventions d’API
• Bonnes pratiques de développement
• Design Patterns

Travaux pratiques :

• Création d’une API météo

Jour 1 - Après-midi

Les outils

• OpenAPI
• Swagger
• Postman
• Sandboxing
• JSON Generator / JSON Server

Travaux pratiques :

• Test et validation d’implémentation d’une API

Jour 2 - Matin

Rappels sur la sécurité

• Les menaces
• Les grands principes de la sécurité informatique
• Le top 10 de l’OWASP
• Evolution des problématiques de sécurité liées aux API

Jour 2 - Après-midi

La sécurité Web appliquée aux API

• Problématiques d’authentification
• Manipulation d’identifiants et d’autorisations d’objets
• Déni de service et consommation de ressources
• Exploitation des “business flows”
• SSRF (Server Side Request Forgery)
• Mauvaise configuration de sécurité
• Mauvaise gestion d’inventaire
• Problématiques de confiance des API tierces
• Bonnes pratiques de développement

Travaux pratiques :

• Etude et audit d’une API vulnérable

Jour 3 - Matin

Authentification et autorisation

• Authentification avec OAuth2 et OpenID Connect
• Sécurité côté serveur
• Gestion des permissions et des rôles
• Journalisation et supervision

Jour 3 - Après-midi

Middleware et JWT (JSON Web Token)

• Rappels sur la cryptographie
• Principes JWT
• Risques et vulnérabilités intrinsèques

Travaux pratiques :

• Conception et création d’une API sécurisée

Modalités d’évaluation des acquis

En cours de formation, par des études de cas ou des travaux pratiques. En fin de formation, par un questionnaire d’auto-évaluation.

Voir aussi

Vous serez peut-être intéressés par les formations suivantes :

• Sécuriser les services Internet
• Sécuriser un système Linux
• Mettre en oeuvre la sécurité réseaux
• Contrer les attaques des hackers et les intrusions
• Sécurité des applications php
• Manipuler les certificats SSL
• Concevoir et déployer la sécurité du SI
• Sécurité des applications et des serveurs web

Formation SEC-API-100 — Sécurité des API Rest. Domaine : Sécurité. Niveau : Initiation. Durée : 3 jours (21 heures). Mots-clés : sécurité, api, rest, owasp, authentification, oauth, jwt. Cylian Formation, Dijon.