API REST

Who is the training for?

Développeurs, web designers

Duration

3,00 day(s)

Language(s) of service

EN FR

Next session

Contact the organization

Prerequisites

Connaissances en développement Web: JavaScript / HTTP / HTML

Goals

Découvrir les bonnes pratiques d'architecture et de design d'APIs RESTful. - Découvrir les menaces auxquelles s'exposent vos API. - Découvrir les vulnérabilités les plus fréquentes. - Savoir repérer les points faibles d'une API. - Savoir corriger les vulnérabilités et développer de façon sécurisée.

Découvrir les APIs REST

RESTful API: origine, définition et principes fondamentaux
Richardson Maturity Model
Contrainte de l'architecture REST (HATEOAS, Semantic Web)

Adopter les bonnes pratiques dans la construction d’une API

Conventions de nommage
Base URL
Gestion des types de Media
Versioning
Propriété id
Polymorphisme
Gestion des dates
Association de ressources
Présentation des standards

Atelier: panorama des standards disponibles

Concevoir et tester une API REST

Spécification OpenAPI (Swagger)
Utilisation de Swagger Editor
Outils de debug et de test: Postman, SoapUI REST, Katalon Studio,...
Mocking de RESTful API avec Sandbox
Générateur de données JSON(JSON Generator)
Générateur de service (JSON Server)

Atelier: Conception d'une API avec Swagger – Mocking - Utilisation de Postman pour les tests.

Sécuriser une API RESTful

Etudes des menaces et des impacts sur l'API
Standards de sécurité
OWASP TOP 10
Gestion de l'authentification
Quid sur les cookies
Gestion des Cross-origin
CSRF (Cross-Site Request Forgery)
Anti-farming et rate-limiting (ou throttling)
Gestion des permissions
Authentification OAuth2
OpenID Connect
Canonicalization, Escaping et Sanitization
Protection contre l'injection
Gestion du Data or Cache Poisoning
Contrer le ReDoS

Atelier: Utilisation de Websheep pour l'étude de plusieurs vulnérabilités d'API (authentification/autorisation).