Développeurs, web designers
Connaissances en développement Web: JavaScript / HTTP / HTML
Découvrir les bonnes pratiques d'architecture et de design d'APIs RESTful. - Découvrir les menaces auxquelles s'exposent vos API. - Découvrir les vulnérabilités les plus fréquentes. - Savoir repérer les points faibles d'une API. - Savoir corriger les vulnérabilités et développer de façon sécurisée.
RESTful API: origine, définition et principes fondamentaux Richardson Maturity Model Contrainte de l'architecture REST (HATEOAS, Semantic Web)
Conventions de nommage Base URL Gestion des types de Media Versioning Propriété id Polymorphisme Gestion des dates Association de ressources Présentation des standards
Atelier: panorama des standards disponibles
Spécification OpenAPI (Swagger) Utilisation de Swagger Editor Outils de debug et de test: Postman, SoapUI REST, Katalon Studio,... Mocking de RESTful API avec Sandbox Générateur de données JSON(JSON Generator) Générateur de service (JSON Server)
Atelier: Conception d'une API avec Swagger – Mocking - Utilisation de Postman pour les tests.
Etudes des menaces et des impacts sur l'API Standards de sécurité OWASP TOP 10 Gestion de l'authentification Quid sur les cookies Gestion des Cross-origin CSRF (Cross-Site Request Forgery) Anti-farming et rate-limiting (ou throttling) Gestion des permissions Authentification OAuth2 OpenID Connect Canonicalization, Escaping et Sanitization Protection contre l'injection Gestion du Data or Cache Poisoning Contrer le ReDoS
Atelier: Utilisation de Websheep pour l'étude de plusieurs vulnérabilités d'API (authentification/autorisation).
JavaScript Objet Signing and Encryption (JOSE) JSON Web Tokens (JWT): principe et vulnérabilités
Atelier: Intégration de JOSE ou de JWT dans une API – démonstration de vulnérabilités
Apports d'une solution d'API Management Panorama d'outils: Apigee, 3scale, IBM API Management, Akana, Kong Enterprise, Dell Boomi, Mashery
Atelier: Test d'une solution d'API Management
Méthodologie basée sur l'Active Learning : 75% de pratique minimum. Chaque point théorique est systématiquement suivi d'exemples et exercices.
Contrôle continu
Attestation de fin de stage mentionnant le résultat des acquis