[CBS-020] Desarrollo Seguro en .NET
- Pronoide Wiki Web
Este curso enseña principios y prácticas de seguridad en el ciclo de vida del desarrollo de software, cubriendo temas como OWASP Top 10, vulnerabilidades en .NET, criptografía, inyecciones, control de acceso, y configuraciones seguras. Incluye el uso de herramientas como ZapProxy y Firebug para analizar tráfico y validar seguridad.
Duración: 20 horas
Perfil: Avanzado
Dirigido a
Esta acción formativa va dirigida a programadores, analistas, arquitectos de sistemas e ingenieros de seguridad interesados en aprender a desarrollar aplicaciones web seguras.
Requisitos previos
Los alumnos necesitarán tener conocimientos básicos de programación en C# y desarrollo de aplicaciones en .NET.
Objetivos
- Principios del diseño de software seguro y su aplicación en .NET.
- Identificar y mitigar vulnerabilidades comunes en aplicaciones web mediante el uso de OWASP y otras metodologías de seguridad.
- Mejores prácticas de seguridad en criptografía, control de acceso, y validación de datos en .NET.
- Análisis de tráfico y pruebas de seguridad.
- Implementar medidas de protección frente a inyecciones, configuraciones inseguras y otros riesgos críticos en el desarrollo de aplicaciones .NET.
Contenido
- Principios del Diseño de Software Seguro
- Conceptos generales sobre el desarrollo de aplicaciones web
- S-SDLC – Ciclo de vida de desarrollo seguro. Fundamentos
- OWASP Top 10, CWE y SANS Top 20
- Guía de desarrollo de OWASP
- Open Source Security Testing Methodology Manual (OSSTMM)
- Nociones de HTTP
- Peticiones/Respuestas
- Cookies
- Referer
- Herramientas para Analizar Tráfico
- Firebug
- Proxies HTTP: ZapProxy
- Fuga de Información
- Páginas de error
- Comentarios
- Shodan
- Enumeración de entornos a partir del dominio
- Validaciones
- Open Web Application Security Project (OWASP)
- Testing Black y White Box
- Tipos de validaciones
- A1: Control de acceso
- A2: Fallos en criptografía
- .Net Criptografía
- Ataques criptográficos en .Net
- Algoritmos hash
- Encriptación simétrica y asimétrica
- Claves criptográficas
- A3: Inyecciones
- Comandos de sistema operativo
- SQL Injection y Blind SQL Injection
- LDAP
- Xpath y JSON
- Cross-site Scripting (XSS)
- A4: Diseño inseguro
- Runtime Security
- A5: Configuración de seguridad incompleta
- Directorios por defecto
- Archivos de configuración
- Backups
- Base de datos
- Hardening del servidor
- A6: Componentes vulnerables y antiguos
- A7: Fallos en la identificación y en la autenticación
- Cookies inseguras
- Validación de sesión y pérdida de autenticación (Session Fixation)
- Securidad basada en roles en .Net
- Sdministrar políticas de seguridad en .Net
- A8: Fallos en la integridad de datos y del software
- A9: Fallos en la seguridad de logs y de monitorización
- A10: Server-Side Request Forgey (SSRF)
- OWASP .Net Security Cheat Sheet
- Cheat Sheets de OWASP
- .Net cheat sheet
- Frameworks para Programación Web Segura
- ESAPI JavaScript Edition
- jQuery-encoder
- Security Hardening en el servidor
Documentación Recomendada
ASP.NET Core 5 Secure Coding Cookbook
By Roman Canlas
July 2021 | 324 pages
ISBN 9781801071567
https://www.packtpub.com/product/aspnet-core-5-secure-coding-cookbook/9781801071567