Desarrollo seguro de Aplicaciones Web basado en OWASP

Duración: 30 horas

Código: OWA-101

Descripción:

Este curso está focalizado en las vulnerabilidades Web clasificadas por OWASP como de alto riesgo. Durante este curso se explicará teóricamente cada vulnerabilidad con prácticas hands-on, demostraciones y las contramedidas necesarias para mitigar dichas vulnerabilidades.

El curso está desarrollado para que participantes de distintos niveles de conocimiento identifiquen las vulnerabilidades y puedan aplicar las contramedidas necesarias para aumentar la seguridad de las aplicaciones.

El curso fue especialmente diseñado para satisfacer las necesidades esenciales sobre seguridad de QA testers, desarrolladores de Aplicaciones Web y expertos en Seguridad Informática.

Objetivos:

Al finalizar el curso los estudiantes serán capaces de:

  • Describir los aspectos de seguridad en las diferentes etapas del desarrollo de software, alineadas a las buenas prácticas propuestas por OWASP.
  • Señalar las debilidades más comunes de las aplicaciones y los fundamentos de una programación segura para defender la misma de ataques avanzados.
  • Analizar, cuantificar y calificar los riesgos de seguridad de un proyecto de software.
  • Utilizar los lineamientos y buenas prácticas de desarrollo seguro basándonos en normativas como por ejemplo, SOX, PCI, BCRA/4609, ISO27002.
Audiencia:

Este curso está dirigido a: Líderes de Proyecto de desarrollo, Desarrolladores, Analistas de Calidad, Analistas Funcionales, Oficiales de Seguridad Informática, Auditores.

Contenido:
  1. Introducción a la seguridad en el desarrollo de software
    1. Casos reales de vulnerabilidades y su impacto.
    2. Problemática de las aplicaciones inseguras.
    3. La Seguridad Informática en el desarrollo del software.
  2. El proyecto OWASP
    1. ¿Qué es OWASP?
    2. Recursos que ofrece OWASP.
    3. Vulnerabilidades del Top Ten Owasp.
      1. Injection
      2. Cross-Site Scripting (XSS)
      3. Broken Authentication and Session Management
      4. Insecure Direct Object References
      5. Cross-Site Request Forgery (CSRF)
      6. Security Misconfiguration
      7. Insecure Cryptographic Storage
      8. Failure to Restrict URL Access
      9. Insufficient Transport Layer Protection
      10. Unvalidated Redirects and Forwards
  3. Seguridad en la etapa de análisis
    1. Pautas de seguridad en el análisis de requerimientos.
    2. Desarrollo seguro y compliance / PCI, ISO27002
  4. Seguridad en el diseño de software
    1. Criterios Básicos de Seguridad
    2. Principio del menor privilegio
    3. Criterio de defensa en profundidad
    4. Manejo seguro de errores
    5. Criterio del “Fallo Seguro”
    6. Definición de mensajes de error
    7. Prevención de divulgación de información
    8. Manejo de información sensible
    9. Almacenamiento seguro
    10. Transferencia segura
    11. Encriptación y Hashes
    12. Auditoría y Logging
    13. Diseño de Autenticación y Autorización
    14. Seguridad en Web Services
    15. Diseño de protección contra Denial of Service (D.O.S)
    16. Errores de Lógica de negocio
  5. Seguridad en la codificación de software
    1. Vulnerabilidades más comunes. ¿Cómo prevenirlas?
    2. Sql Injection & Command injection
    3. XSS, CSRF
    4. Vulnerabilidades del ranking OWASP Top 10
    5. Otras vulnerabilidades
    6. Errores de Canonización
    7. Information disclosure
    8. Phishing Vector
    9. Recursos de OWASP para seguridad en la codificación
  6. Testing de seguridad de software
    1. Técnicas de testing de seguridad
    2. Testing de seguridad vs testing funcional
    3. Revisión de código
    4. Recursos de OWASP para testing de seguridad
    5. OWASP Testing Project
    6. OWASP Code Review Guide
    7. Testing de seguridad en el ciclo de vida del software
    8. Escalamiento de privilegios
    9. Herramientas de testing de seguridad
    10. Burp, Dirbuster, Nikto, W3af, Nessus
  7. Implementación segura de aplicaciones
    1. Diseño de implementación segura
    2. Hardening de sofware de base
    3. Topología de la instalación
    4. Web Services y Web Mobile
    5. Aseguramiento de S.O y software de base
    6. Servidores Web (ej: IIS, Apache)
    7. Interpretes (ej: PHP, Java, ASP .NET)
    8. Application Server (ej: Tomcat, JBOSS)
    9. Prevención de revelación de información
    10. Seguridad en el proceso de implementación
Costos:

Este costo incluye: Material de seguimiento, el uso de una computadora por persona, certificados, refrigerios e impuestos de ley.