Ciberseguridad - Desarrollo seguro basado en OWASP
Link copiado
Descargando...
Este curso en línea tiene como objetivo capacitar a los participantes en las mejores prácticas de programación segura, centrándose en la identificación y solución de vulnerabilidades en el código. Los participantes aprenderán a analizar y comprender la importancia de la codificación segura para mitigar riesgos, explorando a fondo vulnerabilidades clave como XSS, referencia directa de objetos, exposición de datos e inyecciones de SQL, basándose en los 10 errores de programación más peligrosos del OWASP TOP 10 de 2021, proporcionando a los participantes las habilidades necesarias para reconocer y prevenir este tipo de fallos en el diseño de productos de software.
Objetivos del curso
Entender las amenazas y vulnerabilidades a las que está expuesta cualquier aplicación web.
Reconocer los principales fallos de seguridad en las aplicaciones web.
Realizar análisis DAST (Test de seguridad en modo dinámico) y SAST (Test de seguridad en modo estático) basado en OWASP.
Aplicar la metodología desarrollada por OWASP para programación segura.
Instructor
Juan Oliva - Pentester & Cybersecurity Specialist certificado. Reconocido especialista en Ciberseguridad, Linux y Voz sobre IP, con más de 15 años de experiencia. Proyectos de Ethical Hacking, análisis, explotación de vulnerabilidades, pruebas de ingeniería social, seguridad física, revisión de código, entre otras tareas de seguridad informática.
Contenido del curso
Módulo 1 - Estado actual de las aplicaciones web
Ciclo de vida de desarrollo de software.
Tecnologías involucradas en el desarrollo de software.
(In)Seguridad de aplicaciones web.
Mecanismos de defensa.
Ambientes de aprendizaje.
Módulo 2 - Diseño y selección de controles
Requerimientos de seguridad en aplicaciones web (OWASP ASVS).
Requerimientos de seguridad en aplicaciones móviles.
Requerimientos de seguridad en APIs.
Frameworks y librerías de desarrollo.
Módulo 3 - Implementación de controles
A1:2021 Ruptura en el control de acceso
Introcucción.
Prácticas de archivos IDOR tokens.
Prácticas IDOR urls tokens
Implementación de defensas
Soluciones de laboratorio
A1:2021 Ruptura en el control de acceso
A2:2021 Fallas de Criptografía
Introducción.
Prácticas de falla en comentarios.
Prácticas de páginas ocultas.
Prácticas de HTML Web Storage.
Implementación de defensas.
A2:2021 Fallas de Criptografía
A3:2021 Inyecciones
Introducción.
Prácticas de inyección SQL.
Prácticas de inyección de comandos.
Prácticas de inyección JSON.
Prácticas XSS HTML reflejado.
Prácticas XSS JS reflejado.
Prácticas de XSS almacenado.
Implementación de defensas.
Solución de laboratorios.
A3:2021 Inyecciones
A4:2021 Diseño Inseguro
Introducción.
Errores de recuperación de contraseñas.
Modificación de lógica de negocio.
Implementación de defensas.
Soluciones de laboratorios.
A4:2021 Diseño Inseguro
A5:2021 Configuración incorrecta de seguridad
Introducción.
Practicas de XXE
Implementación de defensas.
Prácticas de inyección JSON.
Prácticas de Dir.
Prácticas de agente de usuario
Implementación de defensas.
Solución de laboratorios.
A5:2021 Configuración incorrecta de seguridad
A6:2021 Componentes con vulnerabilidades conocidas
Introducción.
Prácticas de bibliotecas y demostración de CVSS.
Implementación de defensas.
A6:2021 Componentes con vulnerabilidades conocidas
A7:2021 Fallos de identificación y autenticación
Introducción.
Prácticas de manipulación de Cookies.
Prácticas de enumeración de nombre de usuario.
Prácticas de ataques de fuerza bruta.
Implementación de defensas.
Solución de laboratorios.
A7:2021 Fallos de identificación y autenticación
A8:2021 Fallas de integridad de software y datos
Introducción.
Prácticas de concepto
Prácticas en fallas de deserializacion.
Implementación de defensas.
Soluciones de laboratorios.
A8:2021 Fallas de integridad de software y datos
A9:2021 Insuficiente registro y monitoreo
Introducción.
Prácticas de ataques sin monitoreo.
Implementación de defensas.
Soluciones de laboratorios.
A9:2021 Insuficiente registro y monitoreo
A10:2021 Falsificación de solicitudes del lado del servidor - SSRF
Introducción.
Prácticas de ataques SSRF
Implementación de defensas.
Soluciones de laboratorios.
A10:2021 Falsificación de solicitudes del lado del servidor - SSRF
Módulo 4 – Rectificación y monitoreo
Defensas Activas
Introducción.
Explicaciones.
Defensas Activas
Análisis automatizado de vulnerabilidades en código - SAST
Análisis estático de seguridad básico.
Análisis estático de seguridad (SAST) dentro de un flujo de integración continua (CI) con Pipeline en Jenkins.
Detección de librerías JS vulnerables, integración en Pipeline de Jenkins.
Detección de dependencias vulnerables, integración en Pipeline de Jenkins.
Detección de aplicaciones NodeJS vulnerables, integración en Pipeline de Jenkins.
Análisis automatizado de vulnerabilidades en código - SAST
Análisis automatizado de vulnerabilidades dinamico - DAST
Análisis dinámico de seguridad básico.
Análisis dinámico de aplicaciones web con Nessus.
Análisis dinámico de aplicaciones web con Nikto.
Análisis automatizado de vulnerabilidades dinamico - DAST
Duración: 24 horas, divididas en 6 sesiones de 4 horas cada una.
Información: training@silcom.com.pe | Consulta por el diseño de programas de capacitación personalizados