de it fr

183 Implémenter la sécurité d’une application.

Module
Implémenter la sécurité d’une application.
Compétence
Planifier de manière sûre, développer et mettre en service des applications.
Objectifs opérationnels
1 Reconnaître et pouvoir expliquer les menaces actuelles. Acquérir des informations actuelles sur ce thème (reconnaissance et contre-mesures), et pouvoir démontrer et expliquer les effets possibles.
  Connaissances opérationnelles nécessaires:
1 Connaître des sources d’informations sur les menaces actuelles.
2 Connaître des lacunes de sécurité et les conséquences possibles lors d’attaques.
 
2 Pouvoir reconnaître les lacunes de sécurité ainsi que leurs causes dans une application. Pouvoir proposer et implémenter des contre-mesures.
  Connaissances opérationnelles nécessaires:
1 Connaître des causes possibles de lacunes de sécurité dans des applications.
2 Connaître un déroulement pour l’identification des lacunes de sécurité dans des applications.
3 Connaître des contre-mesures pour les différentes catégories de menaces et comment ces mesures doivent être implantées.
 
3 Pouvoir mettre en œuvre des mécanismes d’authentification et d’autorisation.
  Connaissances opérationnelles nécessaires:
1 Connaître des mécanismes d’authentification et leurs fonctionnalités.
2 Connaître des mécanismes de codage et leur implémentation dans une application.
3 Connaître diverses procédures pour le pilotage des accès.
 
4 Prendre en considération les aspects les plus importants de la sécurité lors du développement et de l’implémentation.
  Connaissances opérationnelles nécessaires:
1 Connaître les aspects les plus importants de sécurité lors du développement d’une application.
2 Connaître des techniques lors de la réalisation qui permettent d’éviter les lacunes de sécurité (par ex. validation d’entrée/sortie, programmation défensive, gestion des sessions, gestion des erreurs).
3 Connaître le déroulement pour un déploiement sûr des applications.
 
5 Générer des informations pour les audits et le login. Définir et implémenter des évaluations et alarmes.
  Connaissances opérationnelles nécessaires:
1 Connaître la raison, la structure et le contenu d’un Log.
2 Connaître la raison, la structure et le contenu d’un Audit-Trails.
3 Connaître différentes formes d’alarme et les règles pour le déclenchement d’une alarme.
 
Domaine de compétence
Ingénierie d'applications
Objet
Application Web avec lien sur des données, service Web
Niveau
4
Pré-requis
Expérience et développement d’applications (multi-utilisateurs, Web, applications partagées)
Nombre de leçons
40
Reconnaissance
Certificat fédéral de capacité
Publié: 12.08.2014 19:04:38
Titre DEP Module 183-1 - 2 Eléments - Travail pratique de mise en oeuvre, Examen oral
Institution TBZ Technische Berufsschule Zürich
Aperçu Pouvoir déceler des lacunes connues et connaître leurs effets dans les applications logicielles. Planifier et introduire des mesures pour l'amélioration de la sécurité dans les diverses phases de mise en place d'un logiciel. Le potentiel de risques actuel auxquels les applications logicielles sont exposées, doivent pouvoir être régulièrement estimées et évaluées.
Complément

Partie 1
Pondération 50%
Durée indicative (recommandation) 20
Description de l'élément Entreprendre dans le cadre d'un travail de projet l'analyse des risques sur une application existante. Les points faibles doivent pouvoir être analysés et examinées ainsi que évaluées sur leur dangerosité. Ensuite, des contre-mesures appropriées devront être développées, implémentées et documentées. L'application améliorée doit désormais être vérifiée avec des procédures appropriées de tests du point de vue sécurité. Le travail pratique de mise en oeuvre se déroule en équipes.
Moyens d'aide Toutes les ressources.
Evaluation La grille d'évaluation s'oriente sur les cinq objectifs opérationnels et décrit chaque indicateurs qui mène vers la note de 4.
Relation à la pratique Garantir la qualité des applications.
Développer et documenter des applications conformément aux besoins du client en utilisant des modèles appropriés de déroulement.
Elaborer un concept de tests, mettre en application divers déroulements de tests et tester systématiquement les applications.

Partie 2
Pondération 50%
Durée indicative (recommandation) 4
Description de l'élément Examen oral: un lot de 20 à 40 questions (sans réponses) est remis aux personnes en formation environ au milieu du module. L'exécution de interrogation orale se déroule en fin de module. Chaque candidat reçois trois questions sur papier et a environ 5 minutes pour préparer les réponses qui seront données sous forme d'un entretien professionnel d'environ 15 minutes par personne.
Il y a une question principale (compte double) et deux questions auxiliaires.
Moyens d'aide Pas de restriction pour la préparation.
Notes personnelles pour la présentation.
Evaluation Grille d'évaluation fournie avec les questions et à disposition des candidats.
Relation à la pratique Garantir la qualité des applications.
Développer et documenter des applications conformément aux besoins du client en utilisant des modèles appropriés de déroulement.
Elaborer un concept de tests, mettre en application divers déroulements de tests et tester systématiquement les applications.
Publié: 16.09.2016 10:28:46
Date de péremption: Pas de date de péremption
Titre LBV Modul 183-2 - 3 Elemente - Bearbeiten eines Projekts, Schriftliche Einzelprüfung / Schriftlicher Test, Praktische Umsetzungsarbeit
Institution gibb Gewerblich-Industrielle Berufsschule Bern
Aperçu Leistungsbeurteilung in drei Bereichen: Bearbeiten eines Projektes, schriftlicher Einzeltest zu konzeptionellen Aspekten, praktische Umsetzungsarbeit in der Gruppe.
Complément

Partie 1
Pondération 40%
Durée indicative (recommandation) 1
Description de l'élément Ein vorgängig bearbeitetes und somit den Lernenden bekanntes Software-Projekt dient als Prüfungsobjekt. An diesem werden Schwachstellen identifiziert, ausgenützt und/oder behoben (Beispiel: Die Schwachstellen können im GUI benannt werden und der Lernende soll diese im Code identifizieren und beheben). Zum "Ausbalancieren" der praktischen Aufgaben kann die Lehrperson die LB optional mit einem schriftlichen Teil ergänzen. Es werden themenverwandte oder auf den Unterricht bezogene Fragen gestellt, welche nicht direkt mit dem zu bearbeitenden Projekt zusammenhängen müssen (z.B. zu Sicherheitslücken, deren Ursachen und Behebung). Dieser schriftliche Zusatz hat maximal 50% Gewicht an der LB1.
Moyens d'aide Die Lehrperson definiert und kommuniziert die erlaubten Hilfsmittel.
Evaluation Das Projekt weist mehrere Schwachstellen auf. Pro erfolgreich bearbeiteter Schwachstelle werden Punkte vergeben. Zusatzfragen mit maximal 50% Gewicht.
Relation à la pratique Sicherheitslücken durch Codeinspektion auffinden. Sicherheitsrelevante Bereiche im Code auf Schwachstellen testen. Bekannte Sicherheitslücken im Code schliessen.

Partie 2
Pondération 40%
Durée indicative (recommandation) 1
Description de l'élément Schriftlicher Test zu den im Unterricht behandelten Technologie für Applikationssicherheit. Beispielsweise das Erkennen von Sicherheitslücken oder Angriffsvektoren und das Vorschlagen von Gegenmassnahmen.
Moyens d'aide Die Lehrperson definiert und kommuniziert die erlaubten Hilfsmittel.
Evaluation Es werden mindestens drei behandelte Themen aus dem Unterricht geprüft. Ein einzelnes Thema soll nicht mehr als 50% der Bewertung der LB2 ausmachen.
Relation à la pratique Mit sicherheitsrelevantem Vokabular und Fachbegriffen umgehen. Performanz und Aufwand abschätzen (Bruteforce, Kryptografie, ...). Sicherheitsmassnahmen auf konzeptioneller Ebene verstehen, einordnen und bewerten.

Partie 3
Pondération 20%
Durée indicative (recommandation) 6
Description de l'élément Es wird eine minimale Applikation durch die Lernenden erstellt. Das Projekt kann als Gruppenarbeit (max. 4 Personen) umgesetzt werden. Die Lehrperson gibt die Anforderungen vor, welche einzuhalten ist (GUI, API, Persistenz, Session, ...). Das Projekt enthält mindestens vier verschiedene sicherheitsrelevante Aspekte, welche die Lernenden implementieren müssen (Beispiel: Login, Session, Input-Verarbeitung, Log-Meldungen, Passworthandling, SSL/TLS, Schutz vor DOS, ...). Verpflichtend zur Umsetzung sind: Login, Session und Logging. Die Sicherheit soll im Fokus der Implementation (und deren Bewertung) sein. Die Lernenden erstellen eine minimale Dokumentation zum Projekt. In der Dokumentation wird jedes implementierte Sicherheitsfeature "kurz & knackig" beschrieben/erläutert.
Moyens d'aide Offen (IT-Infrastruktur, Internet, Unterlagen, Eigene Notizen). Quellenangaben zu übernommenen Inhalten sind verpflichtend.
Evaluation Jedes vorgegebene Sicherheitsmerkmal wird einmal im Projekt als Code und einmal in der Dokumentation im Verhältnis 1:1 bewertet. Die Sicherheitsfeatures der Applikation müssen von der Lehrperson praktisch getestet werden. Das abgegebene Projekt muss dem Charakter einer selbstständig erstellten Arbeit genügen.
Relation à la pratique Erlernte Konzepte und Techniken selbstständig praktisch anwenden.
Publié: 16.10.2017 08:09:45
Date de péremption: Pas de date de péremption
Titre LBV Modul 183-3 - 1 Elemente - Fallstudie
Institution Berufsfachschule BBB Baden
Aperçu Eine Fallstudie, in der Sicherheitslücken in einer gegebenen Applikation gesucht, analysiert und korrigiert werden müssen.
Complément

Partie 1
Pondération 100%
Durée indicative (recommandation) 4
Description de l'élément In einer situierten Fallstudie wird von den Lernenden in Einzelarbeit oder Kleingruppen eine gegebene Applikation analysiert.

In der gegebenen Applikation sind einige sicherheitsrelevanten Probleme vorhanden. In einem ersten Teil der Fallstudie werden die Lernenden angewiesen zu prüfen, ob die Applikation sicherheitsrelevante Probleme enthält. Insbesondere soll die Applikationen Probleme in folgenden Bereichen beinhalten um ein genügend breites Spektrum abzudecken:
* Allgemeine Probleme, beispielsweise Information-Leakage, CSRF, Direct Access, ...
* Probleme, welche die Authentifizierung und/oder der Zugriffssteuerung betreffen, beispielsweise Passwort-Hashing, Session Fixation, Privilege-Escalation, ...
* Probleme, welche die Ein- und Ausgabevalidierung betreffen wie Cross-Site-Scripting, SQL-Injection, ...

Für jedes Problem wird Folgendes verlangt:
* Eine kurze Beschreibung des Problems
* Eine kurze Beschreibung der möglichen Folgen.
* Wenn die Applikation von dem Problem betroffen ist:
* Ein konkretes Beispiel, wie die Sicherheitslücke die aus dem Problem entsteht ausgenutzt werden kann.
* Eine Beschreibung, wie das Problem korrigiert werden kann.
* Die Korrektur im Quellcode.

In einem zweiten Teil der Fallstudie soll das Logging analysiert und korrekt implementiert werden. Dabei sollen sicherheitsrelevante Ereignisse identifiziert und nach Schweregrad priorisiert werden. Optional können Regeln für Alarme erfragt und/oder eine Implementierung verlangt werden.
Moyens d'aide Open-Book: Entweder alle oder nur vorgegebene Unterlagen (ausser alten Prüfungslösungen) erlaubt.
Mit oder ohne Internet.
Evaluation 0%-10%: Einhaltung der Prüfungsvorgaben.
15%-35%: Allgemeine Sicherheitsprobleme
15%-35%: Authentifizierung/Autorisierung
15%-35%: Ein-/Ausgabevalidierung
5%-25%: Logging
Relation à la pratique B5: Qualität der Applikationen sicherstellen
B3: Applikationen unter Anwendung geeigneter Vorgehensmodelle und Einhalten der nötigen Sicherheitsanforderungen benutzergerecht entwickeln und dokumentieren
C2.4: Stellen Datensicherheit (Backup, Verfügbarkeit usw.) und Datenschutz (u.A. Zugriffsberechtigung) sicher.
Publié: 16.10.2017 08:09:55
Date de péremption: Pas de date de péremption
Retour