Por favor espere...

Menú

+52 (55) 5848-1205

Ataques y Desarrollo Seguro de Aplicaciones WEB

CursosAtaques y Desarrollo Seguro de Aplicaciones WEB
CursosAtaques y Desarrollo Seguro de Aplicaciones WEB

Ataques y Desarrollo Seguro de Aplicaciones WEB

¿A qué se debe el incremento gradual de los ataques en las aplicaciones?

Las principales razones se deben a:

  • Conectividad. El incremento del avance tecnológico ha hecho que millones de usuarios accedan a información confidencial procesada por aplicaciones a través de diferentes puntos en internet.
  • Gran % de aplicaciones vulnerables. 2 de 3 aplicaciones WEB son vulnerables a ataques, debido a que hasta el momento no se ha considero la seguridad como un factor medular en las aplicaciones desarrolladas para otorgar un producto con altos estándares de calidad.
  • Desconocimiento. De la mentalidad de los atacantes, existe muy poco personal capacitado con relación a la seguridad de aplicaciones y/o desarrollo seguro

 

Descripción

En este curso los participantes entenderán las vulnerabilidades, amenazas, y riesgos a las que se encuentran expuestas las aplicaciones web. Se explica cómo implantar controles de seguridad en las aplicaciones, infraestructura, en los procesos y en las personas involucradas en el SDLC. El curso es 70% Práctico con ejercicios y 30% Teoría.

 

Objetivos

Al final de este curso, los participantes adquirirán competencias en:

  • Conocer las amenazas, vulnerabilidades y riesgos de la seguridad de los aplicativos
  • Entender como son explotadas las vulnerabilidades de los aplicativos Web mediante ejercicios prácticos
  • Entender el proceso de administración de riesgos de seguridad de las aplicaciones
  • Entender cómo aplicar controles de seguridad en todo es ciclo de vida del desarrollo de sistemas
  • Entender cómo aplicar controles de seguridad en la programación.

 

Características

  • Está estructurado en unidades temáticas, con 70% de ejercicios de prácticos (demostrarción de ataques de las 10 vulnerabilidades OWASP 2017) y 30% teoria.
  •  Se entrega Diploma con valor curricular
  •  Tiene una duración de 5 días (9 am a 3  pm).

 

Dirigido a

  • Especialistas de seguridad de aplicaciones
  • Programadores
  • Testers de seguridad
  • Arquitectos de seguridad de aplicaciones
  • Líderes de proyecto
  • Arquitectos de aplicaciones

 

Pre-requisitos

Programación en cualquier lenguaje como:
JAVA
HTML
JAVASCRIPT
PHP
SCRIPTING

Deseable conocimientos de:

Sistemas operativos Windows y Linux.
Virtualización
Redes
Sistema operativo Linux (Kali Linux).
Construcción de sentencias SQL (scripts).

 

¿Por qué tomarlo con nosotros?

  • Amplia Experiencia en  Instructores acreditados a nivel internacional para proveer la capacitación, así como  implementación de consultoría en las mejores prácticas de diferentes marcos de referencia como son ITIL, COBIT, ISO 20000 (gestión del servicio), ISO 27001 (seguridad de la información), ISO 22301 (Continuidad del negocio) y Auditoria, entre otros.
  • Material de alta calidad avalado por entidades acreditadas nivel internacional (Accredited Courseware Provider and Examination Institutions)
  • Nuestras certificaciones tienen validez  a nivel internacional, ya que son emitidas por PeopleCert, Exin, APMG, entre otros dependiendo de la certificación
  • Nuestras instalaciones cuentan con: Salas de capacitación totalmente equipadas, alimentos y bebidas.
  • Meses sin intereses con tarjetas participantes
  • Flexibilidad en la modalidad de impartición de cursos tanto  presenciales, como vía remota para aquellos que no pueden desplazarse de su entidad o lugar de trabajo.
  • Apertura de cursos cerrados en la fecha, horarios y lugar (oficinas de nuestros clientes o en las nuestras) que las necesidades de nuestros clientes requieran.

 

Material de estudio

  • Manual del curso
  • Equipo cargado con el software para la realización de los ejericicios (maquinas virtuales de los atacantes y victimas).  
  • Diploma de participación

 

Temario

Día 1

1.    Introducción 
1.1.    Introducción a la tecnología Web 
1.1.1.    Internet 
1.1.2.    La arquitectura cliente servidor 
1.1.3.    Principales tecnologías web 
1.2.    Introducción a las aplicaciones inseguras y la ciberseguridad 
1.2.1.    Concepto de ciberseguridad 
1.2.2.    El espectro de amenazas 
1.2.3.    Conceptos básicos de seguridad 
1.3.    Introducción a OWASP 
1.3.1.    ¿Qué es OWASP? 
1.3.2.    Categorías 
1.4.    El Ciclo de vida del desarrollo de Aplicaciones OWASP SDLC 
1.5.    El marco S-SDLC 
1.5.1.    Fase de requerimientos 
1.5.2.    Fase de diseño 
1.5.3.    Fase de implementación 
1.5.4.    Fase de validación 
1.5.5.    Fase de liberación
2.    Construyendo aplicaciones seguras  
2.1.    Amenazas 
2.1.1.    ¿Qué es una amenaza? 
2.1.2.    Tipos de amenaza 
2.1.3.    Modelado de amenazas 
2.1.4.    Creando un modelo de amenazas para una aplicación web 

Día 2

2.2.    Ataques 
2.2.1.    ¿Qué es un ataque?
2.2.2.    Ataques más comunes 
2.2.3.    Demostración de ataque de inyección de datos 
2.2.4.    Demostración de ataque negación de servicio
2.3.    Vulnerabilidades 
2.3.1.    ¿Qué es una vulnerabilidad? 
2.3.2.    Categorías de vulnerabilidades principales

 

Día 3

3.    Validación de Información
3.1.    Sanitización de entradas y salidas basado en OWASP
3.1.1.    ¿Qué es la sanitización de entradas? 
3.2.    Técnicas de validación 
3.2.1.    Ejemplo de validaciones de datos con JEE 
3.3.    Validación del lado del cliente 
3.3.1.    OWASP HTML Sanitizer 
3.3.2.    Implementación de sanitización con jscript 
3.4.    Validación del lado del server 
3.4.1.    Sanitización en el servidor con JEE 

Día 4

4.    Autenticación y Autorización
4.1.    Introducción 
4.1.1.    ¿Qué es la autenticación? 
4.1.2.    ¿Qué es la autorización? 
4.1.3.    Sistemas de seguridad basados en roles
4.2.    Implementación de autenticación (biométricos)
4.2.1.    Implementando un sistema de autenticación en aplicaciones web JAVA 
4.3.    Implementación de autorización 
4.3.1.    Implementando un sistema de autorización en aplicaciones web JAVA 
4.4.    Manejo seguro de sesiones 
4.4.1.    Ejemplo de sesiones en Android con tokens
5.    Criptografía 
5.1.    Principios de criptografía 
5.1.1.    Breve historia de la criptografía 
5.1.2.    Beneficios 
5.2.    Tipos de criptografía 
5.2.1.    Algoritmos de criptografía simétrica 
5.2.2.    Algoritmos de criptografía basada en llaves públicas 
5.2.3.    Lista de algoritmos de criptografía simétrica 
5.2.4.    Lista de algoritmos de criptografía de llave pública 
5.3.    Implementación de diferentes algoritmos de encriptación
5.3.1.    Ejemplo de encriptación usando Rijndael (simétrico)
5.3.2.    Ejemplo de encriptación usando RSA (asimétrico)

Día 5

6.    Pruebas de seguridad 
6.1.    Introducción 
6.1.1.    ¿Qué son las pruebas de seguridad? 
6.1.2.    Principios de Testing 
6.1.3.    El proceso de pruebas de OWASP 
6.2.    Tipos de pruebas enfocadas a seguridad 
6.2.1.    Pruebas de configuración 
6.2.2.    Pruebas de autenticación 
6.2.3.    Pruebas de autorización 
6.2.4.    Pruebas de sesión 
6.2.5.    Pruebas de criptografía 
6.3.    Penetration Testing 
6.3.1.    ¿Qué es? 
6.3.2.    Fases 
6.3.3.    Herramientas 
6.3.4.    Ejemplo sobre aplicación web