Curso de Factores de Seguridad en Aplicaciones Web

Objetivo

Teniendo como fundamentos el panorama actual de los ataques de aplicaciones web, las recomendaciones, consejos y herramientas brindadas por la OWASP (Open Web Application Security Project), el objetivo de este curso es presentar todos estos elementos de manera concisa y clara a los asistentes de tal mera que puedan replicar estas técnicas y pruebas en distintos ámbitos para la prevención de estos errores.

Audiencia

  • Programadores.

  • Testers.

  • Especialistas de seguridad.

Pre requisitos.

  • Indispensable conocimiento básico de lenguajes de programación web.

  • Uso de máquinas virtuales por parte de los asistentes para realizar las pruebas en ambientes controlados.

  • Indispensable conocimiento básico de servidores y configuraciones.

Temario.

  1. Seguridad web.

    • Factores de riesgo.

    • Herramientas generales de auditoria.

  1. Recopilación de información.

    • Uso de Open Source Intelligence (OSINT)

    • Pruebas de firma digital de Aplicaciones Web.

    • Descubrimiento de Aplicaciones y tecnologías.

  1. Gestión de la configuración.

    • Pruebas SSL/TLS.

    • Prueba de Gestión de Configuración de Infraestructura

    • Prueba de Gestión de Configuración de Aplicación

    • Gestión de ficheros, respaldos e interfaces de gestión.

    • Prueba de métodos HTTP y XST

 

  1. Manejo de autenticación.

    • Transporte de Credenciales sobre canal cifrado

    • Pruebas de intrusión mediante credenciales.

    • Elementos que influyen en el modelo de autenticación.

    • Medidas para aumentar la seguridad en la autenticación.

 

  1. Gestión de sesiones.

    • Esquema de Gestión de Sesión

    • Asegurando las Cookies.

    • Fijación y variables expuestas en sesiones.

    • Ataques de Cross-site request forgery (CSRF).

 

  1. Manejo de autorización de recursos.

    • Prueba de Ruta Transversal

    • Prueba para Evitar Esquema de Autorización

    • Prueba de escalada de Privilegios

    • Estructura de la lógica del negocio.

    • Prueba de Lógica de Negocio

 

  1. Validación de datos.

    • Inyecciones de código y comandos.

    • Desbordamiento de buffer

    • Pruebas avanzadas con inyección.

 

  1. Denegaciones de servicio (Dos y DDos).

    • Inyección de código.

    • Bloqueo de Cuentas de Usuarios.

    • Gestión de recursos.

 

  1. Pruebas de servicios Web.

    • Recopilación de Información de WS

    • Pruebas de seguridad en WSDL

 

  1. Manejo de AJAX.

    • Vulnerabilidades Ajax

    • Pruebas Ajax

  1. Valoración y gestión de riesgos.

    • Estimación y valoración de riesgo.

    • Factores que afectan la valoración.

    • Informe de riesgos.

  1. Integración de medidas como parte del modelo de desarrollo.

indevo Capacitacion TI capacitacion training cursos

Clic para llenar el formulario de contacto