Descripción
Este Curso de 20 horas permitirá al participante auditar aplicaciones web de modo seguro presentando ejemplos reales de vulnerabilidades en las aplicaciones, el mecanismo de explotación y su correspondiente contramedida.
Este Curso de 20 horas permitirá al participante auditar aplicaciones web de modo seguro presentando ejemplos reales de vulnerabilidades en las aplicaciones, el mecanismo de explotación y su correspondiente contramedida.
Objetivos
Después de completar el curso, el participante será capaz de:
- Hacer una valoración de las amenazas que tienen las aplicaciones
- Identificar las normas o estándares del mercado para comercio electrónico
- Conocer los mecanismos de autenticación y sus problemas asociados
- Identificar los requerimientos necesarios para autenticar las aplicaciones
- Reconocer los principales fallos de seguridad asociados a validación de datos
- Realizar pruebas sobre las aplicaciones para la explotación de vulnerabilidades
- Identificar los requisitos para el control de errores y auditoría
Después de completar el curso, el participante será capaz de:
- Hacer una valoración de las amenazas que tienen las aplicaciones
- Identificar las normas o estándares del mercado para comercio electrónico
- Conocer los mecanismos de autenticación y sus problemas asociados
- Identificar los requerimientos necesarios para autenticar las aplicaciones
- Reconocer los principales fallos de seguridad asociados a validación de datos
- Realizar pruebas sobre las aplicaciones para la explotación de vulnerabilidades
- Identificar los requisitos para el control de errores y auditoría
Perfil
Consultores, Ingenieros de Sistemas, Desarrolladores y todos aquellos que manejen información restringida o confidencial para la empresa.
Consultores, Ingenieros de Sistemas, Desarrolladores y todos aquellos que manejen información restringida o confidencial para la empresa.
Prerrequisitos
- Experiencia en desarrollo de aplicaciones web
- Experiencia en Bases de Datos
- Conocimiento de alguno de los lenguajes: PHP, ASP, Java, Perl
- Alto nivel de compresión de lectura en inglés
- Experiencia en desarrollo de aplicaciones web
- Experiencia en Bases de Datos
- Conocimiento de alguno de los lenguajes: PHP, ASP, Java, Perl
- Alto nivel de compresión de lectura en inglés
Materiales entregados
- Presentaciones, documentos y herramientas relevantes con acceso online
- Guía OWASP impresa
- Certificado de Asistencia (para aquellos que asistan a un mínimo del 80%)
- Presentaciones, documentos y herramientas relevantes con acceso online
- Guía OWASP impresa
- Certificado de Asistencia (para aquellos que asistan a un mínimo del 80%)
Programación
- Módulo I: A1 – Injection
- Tipos y clasificación de inyecciones
- Riesgos asociados
- Parameterized Queries (Prepared Statements)
- Procedimientos Almacenados
- Escape de datos de entrada
- Privilegio Mínimo
- Validación de “Lista Blanca”
- CWE 77 y 89
- Módulo II: A2 – Cross-Site Scripting (XSS)
- Tipos y clasificación de XSS
- Riesgos Asociados
- Reglas de prevención en HTML
- Reglas de prevención en Javascript
- Reglas de prevención en CSS/DHTML
- Reglas de prevención en DOM
- CWE 79
- Módulo III: A3 – Broken Authentication and Session Management
- Técnicas y Principios de Autentificación
- Gestión de Sesiones Seguras
- CWE 287
- Módulo IV: A4 – Insecure Direct Object Referentes
- Implementación de control de acceso
- Filtros
- CWE 22 y 639
- Módulo V: A5 – Cross-Site Request Forgery (CSRF)
- Synchronizer Token
- Pattern
- CSRFGuard Project
- CWE 352
- Módulo VI: A6 – Security Misconfiguration
- Arquitecturas Seguras
- Seguridad de Servicios de Infraestructura: Servidores de Aplicaciones, Bases de Datos, Sistemas Operativos, Servicios de Directorio
- Módulo VII: A7 – Insecure Cryptographic Storage
- Uso seguro de librerías criptográficas
- Integridad y Confidencialidad
- CWE 310, 312 y 326
- Módulo VIII: A8 – Failure to Restrict URL Access
- Autenticación y Autorización
- Control de Acceso
- Filtros
- CWE 285
- Módulo IX: A9 – Insufficient Transport Layer Protection
- Criptografía: Algoritmos y Claves
- Infraestructura de Claves Publicas
- Certificados Digitales
- Gestión y Almacén de Claves criptográficas
- HTTPS/SSL
- Módulo X: A10 – Unvalidated Redirects and Forwards
- Protocolo HTTP
- Redirecciones Seguras
- Técnicas anti-phishing
- CWE 601
- Módulo I: A1 – Injection
- Tipos y clasificación de inyecciones
- Riesgos asociados
- Parameterized Queries (Prepared Statements)
- Procedimientos Almacenados
- Escape de datos de entrada
- Privilegio Mínimo
- Validación de “Lista Blanca”
- CWE 77 y 89
- Módulo II: A2 – Cross-Site Scripting (XSS)
- Tipos y clasificación de XSS
- Riesgos Asociados
- Reglas de prevención en HTML
- Reglas de prevención en Javascript
- Reglas de prevención en CSS/DHTML
- Reglas de prevención en DOM
- CWE 79
- Módulo III: A3 – Broken Authentication and Session Management
- Técnicas y Principios de Autentificación
- Gestión de Sesiones Seguras
- CWE 287
- Módulo IV: A4 – Insecure Direct Object Referentes
- Implementación de control de acceso
- Filtros
- CWE 22 y 639
- Módulo V: A5 – Cross-Site Request Forgery (CSRF)
- Synchronizer Token
- Pattern
- CSRFGuard Project
- CWE 352
- Módulo VI: A6 – Security Misconfiguration
- Arquitecturas Seguras
- Seguridad de Servicios de Infraestructura: Servidores de Aplicaciones, Bases de Datos, Sistemas Operativos, Servicios de Directorio
- Módulo VII: A7 – Insecure Cryptographic Storage
- Uso seguro de librerías criptográficas
- Integridad y Confidencialidad
- CWE 310, 312 y 326
- Módulo VIII: A8 – Failure to Restrict URL Access
- Autenticación y Autorización
- Control de Acceso
- Filtros
- CWE 285
- Módulo IX: A9 – Insufficient Transport Layer Protection
- Criptografía: Algoritmos y Claves
- Infraestructura de Claves Publicas
- Certificados Digitales
- Gestión y Almacén de Claves criptográficas
- HTTPS/SSL
- Módulo X: A10 – Unvalidated Redirects and Forwards
- Protocolo HTTP
- Redirecciones Seguras
- Técnicas anti-phishing
- CWE 601
Modalidad
Modalidad presencial de Lunes a Jueves
Modalidad presencial de Lunes a Jueves
Precio
Importe total del Curso: 120 Euros (exento de IVA según el Artículo 20, apartado uno, número 9, de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido)
Importe total del Curso: 120 Euros (exento de IVA según el Artículo 20, apartado uno, número 9, de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido)
Fechas programadas
Octubre, Noviembre y Diciembre de 2012 en horario de tardes (20:30 - 22:30 horas). Consultar con el Centro de Formación para más información.
Octubre, Noviembre y Diciembre de 2012 en horario de tardes (20:30 - 22:30 horas). Consultar con el Centro de Formación para más información.