[CBS-020] Desarrollo Seguro en .NET

Este curso enseña principios y prácticas de seguridad en el ciclo de vida del desarrollo de software, cubriendo temas como OWASP Top 10, vulnerabilidades en .NET, criptografía, inyecciones, control de acceso, y configuraciones seguras. Incluye el uso de herramientas como ZapProxy y Firebug para analizar tráfico y validar seguridad.

Duración:                     20 horas

Perfil:                            Avanzado

Dirigido a

Esta acción formativa va dirigida a programadores, analistas, arquitectos de sistemas e ingenieros de seguridad interesados en aprender a desarrollar aplicaciones web seguras.

Requisitos previos 

Los alumnos necesitarán tener conocimientos básicos de programación en C# y desarrollo de aplicaciones en .NET.

Objetivos

• Principios del diseño de software seguro y su aplicación en .NET.

• Identificar y mitigar vulnerabilidades comunes en aplicaciones web mediante el uso de OWASP y otras metodologías de seguridad.

• Mejores prácticas de seguridad en criptografía, control de acceso, y validación de datos en .NET.

• Análisis de tráfico y pruebas de seguridad.

• Implementar medidas de protección frente a inyecciones, configuraciones inseguras y otros riesgos críticos en el desarrollo de aplicaciones .NET.

Contenido

1. Principios del Diseño de Software Seguro

   1. Conceptos generales sobre el desarrollo de aplicaciones web

   2. S-SDLC – Ciclo de vida de desarrollo seguro. Fundamentos

   3. OWASP Top 10, CWE y SANS Top 20

   4. Guía de desarrollo de OWASP

   5. Open Source Security Testing Methodology Manual (OSSTMM)

2. Nociones de HTTP

   1. Peticiones/Respuestas

   2. Cookies

   3. Referer

3. Herramientas para Analizar Tráfico

   1. Firebug

   2. Proxies HTTP: ZapProxy

4. Fuga de Información

   1. Páginas de error

   2. Comentarios

   3. Shodan

   4. Enumeración de entornos a partir del dominio

5. Validaciones

6. Open Web Application Security Project (OWASP)

   1. Testing Black y White Box

   2. Tipos de validaciones

   3. A1: Control de acceso

   4. A2: Fallos en criptografía

      1. .Net Criptografía

      2. Ataques criptográficos en .Net

      3. Algoritmos hash

      4. Encriptación simétrica y asimétrica

      5. Claves criptográficas

   5. A3: Inyecciones

      1. Comandos de sistema operativo

      2. SQL Injection y Blind SQL Injection

      3. LDAP

      4. Xpath y JSON

      5. Cross-site Scripting (XSS)

   6. A4: Diseño inseguro

      1. Runtime Security

   7. A5: Configuración de seguridad incompleta

      1. Directorios por defecto

      2. Archivos de configuración

      3. Backups

      4. Base de datos

      5. Hardening del servidor

   8. A6: Componentes vulnerables y antiguos

   9. A7: Fallos en la identificación y en la autenticación

      1. Cookies inseguras

      2. Validación de sesión y pérdida de autenticación (Session Fixation)

      3. Securidad basada en roles en .Net

      4. Sdministrar políticas de seguridad en .Net

   10. A8: Fallos en la integridad de datos y del software

   11. A9: Fallos en la seguridad de logs y de monitorización

   12. A10: Server-Side Request Forgey (SSRF)

7. OWASP .Net Security Cheat Sheet

   1. Cheat Sheets de OWASP

   2. .Net cheat sheet

8. Frameworks para Programación Web Segura

   1. ESAPI JavaScript Edition

   2. jQuery-encoder

   3. Security Hardening en el servidor

Documentación Recomendada

ASP.NET Core 5 Secure Coding Cookbook
By Roman Canlas
July 2021 | 324 pages
ISBN 9781801071567

https://www.packtpub.com/product/aspnet-core-5-secure-coding-cookbook/9781801071567