Objetivo
Teniendo como fundamentos el panorama actual de los ataques de aplicaciones web, las recomendaciones, consejos y herramientas brindadas por la OWASP (Open Web Application Security Project), el objetivo de este curso es presentar todos estos elementos de manera concisa y clara a los asistentes de tal mera que puedan replicar estas técnicas y pruebas en distintos ámbitos para la prevención de estos errores.
Audiencia
-
Programadores.
-
Testers.
-
Especialistas de seguridad.
Pre requisitos.
-
Indispensable conocimiento básico de lenguajes de programación web.
-
Uso de máquinas virtuales por parte de los asistentes para realizar las pruebas en ambientes controlados.
-
Indispensable conocimiento básico de servidores y configuraciones.
Temario.
-
Seguridad web.
-
Factores de riesgo.
-
Herramientas generales de auditoria.
-
Recopilación de información.
-
Uso de Open Source Intelligence (OSINT)
-
Pruebas de firma digital de Aplicaciones Web.
-
Descubrimiento de Aplicaciones y tecnologías.
-
Gestión de la configuración.
-
Pruebas SSL/TLS.
-
Prueba de Gestión de Configuración de Infraestructura
-
Prueba de Gestión de Configuración de Aplicación
-
Gestión de ficheros, respaldos e interfaces de gestión.
-
Prueba de métodos HTTP y XST
-
Manejo de autenticación.
-
Transporte de Credenciales sobre canal cifrado
-
Pruebas de intrusión mediante credenciales.
-
Elementos que influyen en el modelo de autenticación.
-
Medidas para aumentar la seguridad en la autenticación.
-
Gestión de sesiones.
-
Esquema de Gestión de Sesión
-
Asegurando las Cookies.
-
Fijación y variables expuestas en sesiones.
-
Ataques de Cross-site request forgery (CSRF).
-
Manejo de autorización de recursos.
-
Prueba de Ruta Transversal
-
Prueba para Evitar Esquema de Autorización
-
Prueba de escalada de Privilegios
-
Estructura de la lógica del negocio.
-
Prueba de Lógica de Negocio
-
Validación de datos.
-
Inyecciones de código y comandos.
-
Desbordamiento de buffer
-
Pruebas avanzadas con inyección.
-
Denegaciones de servicio (Dos y DDos).
-
Inyección de código.
-
Bloqueo de Cuentas de Usuarios.
-
Gestión de recursos.
-
Pruebas de servicios Web.
-
Recopilación de Información de WS
-
Pruebas de seguridad en WSDL
-
Manejo de AJAX.
-
Vulnerabilidades Ajax
-
Pruebas Ajax
-
Valoración y gestión de riesgos.
-
Estimación y valoración de riesgo.
-
Factores que afectan la valoración.
-
Informe de riesgos.
-
Integración de medidas como parte del modelo de desarrollo.
Clic para llenar el formulario de contacto