Seguridad en el desarrollo de aplicaciones Web Código SDW-100

Horas:

20

Precio asistente:

935 €

Precio grupo:

Consultar

Convocatorias

  • 26/11/2018 - 29/11/2018. Horario: 15:00 a 20:00

Objetivos

  • Este curso está orientado a conocer las 10 vulnerabilidades consideradas críticas por  OWASP así como la forma de analizarlas, explotarlas y solucionarlas desde el inicio hasta la implementación de cualquier proyecto de desarrollo de aplicaciones web.

Dirigido a

  • Esta acción formativa va dirigida a Programadores y Analistas Web.

Requisitos

  • Manejo de Los alumnos necesitarán tener experiencia con HTML y desarrollo Web previos para poder comprender la materia del curso con éxito. 
  • Recomendables conocimientos del lenguaje de programación Java, así como de Javascript y JQuery..

Índice de contenidos

  • Principios del diseño de software seguro
    • Conceptos generales sobre el desarrollo de aplicaciones web
    • OWASP Top 10, CWE y SANS Top 20
    • Guía de desarrollo de OWASP
    • Open Source Security Testing Methodology Manual (OSSTMM)
    • Nociones de HTTP
    • Peticiones/Respuestas
    • Cookies
    • Referer
  • Herramientas para analizar tráfco
    • Firebug
    • TamperIE
    • WebKit Web Inspector
    • WebScarab
    • Fiddler
    • Wireshark
    • Proxies HTTP
  • Fuga de información
    • Páginas de error
    • Comentarios
  • Validaciones
  • Open Web Application Security Project (OWASP)
    • Testing Black y White Box
    • Tipos de validaciones
    • A1. Ataques de inyección
      • Comandos de sistema operativo
      • SQL Injection y Blind SQL Injection
      • LDAP
      • Xpath y JSON
    • A2. Cross-site Scripting (XSS)
      • Tipos y definiciones
      • Técnicas de inyección de script
      • Codificación y ofuscamiento
      • Prevención de inyecciones
    • A3. Autenticación y gestión de sesiones
      • Cookies inseguras
      • Validación de sesión y pérdida de autenticación (Session Fixation)
    • A4. Referencia insegura directa a objetos
      • Redirecciones y restricciones de acceso
      • Rutas por defecto e inseguras
      • Path trasversal
      • Codificación y uso de Null bytes
    • A5. Falsificación de petición - Cross_Site_Request_Forgery (CSRF)
    • A6. Configuración defectuosa y/o por defecto de aplicaciones y objetos
      • Directorios por defecto
      • Archivos de configuración
      • Backups
      • Base de datos
    • A7. Almacenamiento criptográfico inseguro
      • Generación de contraseñas en aplicaciones
      • Hashing
      • HMAC
      • OpenId
    • A8. Falla de restricción de acceso a sitios web y su configuración adecuada
    • A9. Validación de capa de transporte
      • Certificados digitales
      • Protocolo HTTPS
    • A10. Redirecciones no validadas
  • Open Web Mobile Application Secutity Project.
    • M1-Improper Platform Usage
    • M2-Insecure Data Storage
    • M3-Insecure Communication
    • M4-Insecure Authentication
    • M5-Insufficient Cryptography
    • M6-Insecure Authorization
    • M7-Poor Code Quality
    • M8-Code Tampering
    • M9-Reverse Engineering
    • M10-Extraneous Functionality
  • Frameworks para programación web segura
    • Spring Security
    • HDIV
    • ESAPI JavaScript Edition
    • jQuery-encoder
    • Security Hardening en el servidor