Árbol de páginas
Saltar al final de los metadatos
Ir al inicio de los metadatos

Duración:                     20 horas

Perfil:                            Avanzado

Dirigido a

Esta acción formativa va dirigida a Programadores y Analistas de aplicaciones web.

Requisitos previos 

Los alumnos necesitarán tener experiencia con HTML y desarrollo Web previos para poder comprender la materia del curso con éxito. Recomendables conocimientos del lenguaje de programación Java, así como de Javascript y JQuery.

Objetivos

Este curso está orientado a conocer las 10 vulnerabilidades consideradas críticas por OWASP así como la forma de analizarlas, explotarlas y solucionarlas desde el inicio hasta la implementación de cualquier proyecto de desarrollo de aplicaciones web.


Contenido

  1. Principios del diseño de software seguro
    1. Conceptos generales sobre el desarrollo de aplicaciones web
    2. OWASP Top 10, CWE y SANS Top 20
    3. Guía de desarrollo de OWASP
    4. Open Source Security Testing Methodology Manual (OSSTMM)
  2. Nociones de HTTP
    1. Peticiones/Respuestas
    2. Cookies
    3. Referer
  3. Herramientas para analizar tráfco
    1. Firebug
    2. TamperIE
    3. WebKit Web Inspector
    4. WebScarab
    5. Fiddler
    6. Wireshark
    7. Proxies HTTP
  4. Fuga de información
    1. Páginas de error
    2. Comentarios
  5. Validaciones
  6. Open Web Application Security Project (OWASP)
    1. Testing Black y White Box
    2. Tipos de validaciones
    3. A1. Ataques de inyección
      1. Comandos de sistema operativo
      2. SQL Injection y Blind SQL Injection
      3. LDAP
      4. Xpath y JSON
    4. A2. Cross-site Scripting (XSS)
      1. Tipos y definiciones
      2. Técnicas de inyección de script
      3. Codificación y ofuscamiento
      4. Prevención de inyecciones
    5. A3. Autenticación y gestión de sesiones
      1. Cookies inseguras
      2. Validación de sesión y pérdida de autenticación (Session Fixation)
    6. A4. Referencia insegura directa a objetos
      1. Redirecciones y restricciones de acceso
      2.  Rutas por defecto e inseguras
      3.  Path traversal
      4. Codificación y uso de Null bytes
    7. A5. Falsificación de petición - Cross_Site_Request_Forgery (CSRF)
    8. A6. Configuración defectuosa y/o por defecto de aplicaciones y objetos
      1.  Directorios por defecto
      2. Archivos de configuración
      3. Backups
      4. Base de datos
    9. A7. Almacenamiento criptográfico inseguro
      1.  Generación de contraseñas en aplicaciones
      2.  Hashing
      3. HMAC
      4. OpenId
    10. A8. Falla de restricción de acceso a sitios web y su configuración adecuada
    11. A9. Validación de capa de transporte
      1. Certificados digitales
      2. Protocolo HTTPS
    12. A10. Redirecciones no validadas
    13. Frameworks para programación web segura
      1. Spring Security
      2. HDIV
      3. ESAPI JavaScript Edition
      4. jQuery-encoder
    14. Security Hardening en el servidor 


Documentación Recomendada

The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws, 2nd Edition
Dafydd Stuttard, Marcus Pinto
Octubre 2011 | 912 páginas 
ISBN: 978-1-118-02647-2

http://eu.wiley.com/WileyCDA/WileyTitle/productCd-1118026470.html


Sunshine on Secure Java: OWASP Top 10 - Writing Secure Web Applications
Natalie "Sunny" Wear
Noviembre de 2013 | 77 páginas
ASIN: B00H02GD7A

https://www.amazon.com/Sunshine-Secure-Java-Writing-Applications-ebook/dp/B00H02GD7A

The Web Application Hacker

Escriba un comentario …