Curso de Seguridad en la Web con el Marco de Pruebas OWASP

Android es una plataforma abierta para dispositivos móviles como teléfonos y tabletas. Tiene una gran variedad de características de seguridad para facilitar el desarrollo de software seguro; sin embargo, también le faltan ciertos aspectos de seguridad que están presentes en otras plataformas portátiles. El curso ofrece una descripción completa de estas características y señala las deficiencias más importantes que debe tener en cuenta en relación con Linux subyacente, el sistema de archivos y el entorno en general, así como con respecto al uso de permisos y otros componentes de desarrollo de software de Android .

Las dificultades y vulnerabilidades de seguridad típicas se describen tanto para el código nativo como para las aplicaciones Java , junto con recomendaciones y mejores prácticas para evitarlas y mitigarlas. En muchos casos, los temas discutidos son compatibles con ejemplos de la vida real y estudios de casos. Finalmente, damos una breve descripción de cómo usar las herramientas de prueba de seguridad para revelar cualquier error de programación relevante para la seguridad.

Los participantes que asistan a este curso

• Comprender los conceptos básicos de seguridad, seguridad de TI y codificación segura
• Aprenda las soluciones de seguridad en Android
• Aprenda a usar varias funciones de seguridad de la plataforma Android
• Obtenga información sobre algunas vulnerabilidades recientes en Java en Android
• Aprenda sobre los errores de codificación típicos y cómo evitarlos
• Obtenga información sobre las vulnerabilidades de código nativo en Android
• Darse cuenta de las graves consecuencias del manejo no seguro del búfer en el código nativo
• Comprender las técnicas de protección arquitectónica y sus debilidades.
• Obtenga fuentes y lecturas adicionales sobre prácticas de codificación seguras

Audiencia

Profesionales

La implementación de una aplicación en red segura puede ser difícil, incluso para los desarrolladores que pueden haber utilizado varios bloques de construcción criptográficos (como el cifrado y las firmas digitales) de antemano. Con el fin de que los participantes comprendan el papel y el uso de estas primitivas criptográficas, primero se proporciona una base sólida sobre los principales requisitos de la comunicación segura (reconocimiento seguro, integridad, confidencialidad, identificación remota y anonimato), al tiempo que se presentan los problemas típicos que pueden dañar estos requisitos junto con soluciones del mundo real.

Dado que la criptografía es un aspecto crítico de la seguridad de la red, también se analizan los algoritmos criptográficos más importantes en criptografía simétrica, hashing, criptografía asimétrica y concordancia de claves. En lugar de presentar una base matemática en profundidad, estos elementos se analizan desde la perspectiva de un desarrollador, mostrando ejemplos de casos de uso típicos y consideraciones prácticas relacionadas con el uso de las criptomonedas, como las infraestructuras de clave pública. Se introducen los protocolos de seguridad en muchas áreas de la comunicación segura, con un análisis en profundidad de las familias de protocolos más utilizadas, como IPSEC y SSL/TLS.

Se discuten las vulnerabilidades típicas de las criptomonedas tanto relacionadas con ciertos algoritmos de criptografía como con protocolos criptográficos, como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE y similares, así como el ataque de sincronización RSA. En cada caso, se describen las consideraciones prácticas y las posibles consecuencias de cada problema, de nuevo, sin entrar en detalles matemáticos profundos.

Por último, dado que la tecnología XML es fundamental para el intercambio de datos por parte de aplicaciones en red, se describen los aspectos de seguridad de XML. Esto incluye el uso de XML dentro de los servicios web y los mensajes SOAP junto con medidas de protección como la firma XML y el cifrado XML, así como las debilidades en esas medidas de protección y los problemas de seguridad específicos de XML, como la inyección XML, los ataques de entidad externa (XXE), las bombas XML y la inyección XPath.

Los participantes que asistan a este curso podrán:

• Comprender los conceptos básicos de seguridad, seguridad informática y codificación segura.
• Comprender los requisitos de la comunicación segura
• Más información sobre los ataques y defensas de red en diferentes capas de OSI
• Tener una comprensión práctica de la criptografía
• Comprender los protocolos de seguridad esenciales
• Comprender algunos ataques recientes contra criptosistemas
• Obtenga información sobre algunas vulnerabilidades relacionadas recientes
• Comprender los conceptos de seguridad de los servicios web
• Obtenga fuentes y lecturas adicionales sobre prácticas de codificación segura

Audiencia

Desarrolladores, Profesionales

Este curso de tres días cubre los aspectos básicos de la protección del código C / C++ contra los usuarios malintencionados que pueden explotar muchas vulnerabilidades en el código con la administración de la memoria y el manejo de la información. El curso cubre los principios de escritura de código seguro.

Incluso los programadores Java experimentados no están dominando por todos los medios los diversos servicios de seguridad ofrecidos por Java, y tampoco son conscientes de las diferentes vulnerabilidades que son relevantes para las aplicaciones web escritas en Java.

El curso, además de introducir componentes de seguridad de Standard Java Edition, se ocupa de los problemas de seguridad de Java Enterprise Edition (JEE) y servicios web. La discusión de servicios específicos se precede con los fundamentos de la criptografía y la comunicación segura. Varios ejercicios se ocupan de las técnicas de seguridad declarativa y programática en JEE, mientras que tanto el transporte de capa y de extremo a extremo la seguridad de los servicios web se discute. El uso de todos los componentes se presenta a través de varios ejercicios prácticos, donde los participantes pueden probar las APIs y las herramientas discutidas por ellos mismos.

El curso también revisa y explica los fallos de programación más frecuentes y graves del lenguaje y la plataforma Java y las vulnerabilidades relacionadas con la Web. Además de los errores típicos cometidos por los programadores Java, las vulnerabilidades de seguridad introducidas cubren tanto los problemas específicos del idioma como los problemas derivados del entorno de ejecución. Todas las vulnerabilidades y los ataques relevantes se demuestran a través de ejercicios fáciles de entender, seguidos por las directrices de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asistan a este curso

• Comprender conceptos básicos de seguridad, seguridad de TI y codificación segura
• Aprenda las vulnerabilidades Web más allá de OWASP Top Ten y sepa cómo evitarlas
• Comprender los conceptos de seguridad de los servicios Web
• Aprenda a utilizar varias funciones de seguridad del entorno de desarrollo de Java
• Tener una comprensión práctica de la criptografía
• Entender las soluciones de seguridad de Java EE
• Aprenda sobre errores típicos de codificación y cómo evitarlos
• Obtener información sobre algunas vulnerabilidades recientes en el marco de Java
• Obtener conocimientos prácticos sobre el uso de herramientas de prueba de seguridad
• Obtenga fuentes y lecturas adicionales sobre prácticas de codificación seguras

Audiencia

Desarrolladores

Descripción

El lenguaje Java y el Runtime Environment (JRE) se diseñaron para estar libres de las vulnerabilidades de seguridad comunes más problemáticas experimentadas en otros lenguajes, como C / C++ . Sin embargo, los desarrolladores y arquitectos de software no solo deben saber cómo usar las diversas características de seguridad del entorno Java (seguridad positiva), sino que también deben ser conscientes de las numerosas vulnerabilidades que aún son relevantes para el desarrollo de Java (seguridad negativa).

La introducción de los servicios de seguridad va precedida de una breve descripción de los fundamentos de la criptografía, que proporciona una línea de base común para comprender el propósito y el funcionamiento de los componentes aplicables. El uso de estos componentes se presenta a través de varios ejercicios prácticos, donde los participantes pueden probar las API discutidas por sí mismos.

El curso también explica y explica las fallas de programación más frecuentes y graves del lenguaje y la plataforma Java , cubriendo los errores típicos cometidos por los programadores de Java y los problemas específicos del lenguaje y el entorno. Todas las vulnerabilidades y los ataques relevantes se demuestran a través de ejercicios fáciles de entender, seguidos de las pautas de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asistan a este curso

• Comprender los conceptos básicos de seguridad, seguridad de TI y codificación segura
• Conozca las vulnerabilidades web más allá de OWASP Top Ten y sepa cómo evitarlas
• Aprenda a usar varias funciones de seguridad del Java desarrollo de Java
• Tener una comprensión práctica de la criptografía.
• Aprenda sobre los errores de codificación típicos y cómo evitarlos
• Obtenga información sobre algunas vulnerabilidades recientes en el marco de Java
• Obtenga fuentes y lecturas adicionales sobre prácticas de codificación seguras

Audiencia

Desarrolladores

Una serie de lenguajes de programación están disponibles en la actualidad para compilar código para los frameworks .NET y ASP.NET. El entorno proporciona medios poderosos para el desarrollo de la seguridad, pero los desarrolladores deben saber cómo aplicar las técnicas de programación de arquitectura y nivel de codificación para implementar la funcionalidad de seguridad deseada y evitar vulnerabilidades o limitar su explotación.

El objetivo de este curso es enseñar a los desarrolladores a través de numerosos ejercicios prácticos sobre cómo evitar que los códigos no confiables realicen acciones privilegiadas, proteger los recursos a través de una autenticación y autorización sólidas, proporcionar llamadas a procedimientos remotos, manejar sesiones, introducir diferentes implementaciones para ciertas funciones y muchos Más.

La introducción de diferentes vulnerabilidades comienza con la presentación de algunos problemas de programación típicos cometidos cuando se usa .NET, mientras que la discusión de las vulnerabilidades de ASP.NET también trata con varias configuraciones del entorno y sus efectos. Finalmente, el tema de las vulnerabilidades específicas de ASP.NET no solo trata con algunos desafíos generales de seguridad de la aplicación web, sino también con problemas especiales y métodos de ataque como atacar el ViewState o los ataques de terminación de cadena.

Los participantes que asistan a este curso

• Comprender los conceptos básicos de seguridad, seguridad de TI y codificación segura.
• Conozca las vulnerabilidades de la Web más allá del Top Ten de OWASP y sepa cómo evitarlas.
• Aprenda a usar varias características de seguridad del entorno de desarrollo .NET
• Obtenga conocimiento práctico en el uso de herramientas de pruebas de seguridad
• Aprende sobre los errores típicos de codificación y cómo evitarlos.
• Obtenga información sobre algunas vulnerabilidades recientes en .NET y ASP.NET
• Obtenga fuentes y lecturas adicionales sobre prácticas de codificación seguras

Audiencia

Desarrolladores

El curso presenta algunos conceptos de seguridad comunes, proporciona una visión general sobre la naturaleza de las vulnerabilidades independientemente de los lenguajes de programación y plataformas utilizados, y explica cómo manejar los riesgos que se aplican con respecto a la seguridad del software en las diversas fases del ciclo de vida de desarrollo de software. Sin profundizar en detalles técnicos, destaca algunas de las vulnerabilidades más interesantes y más dolorosas en diversas tecnologías de desarrollo de software, y presenta los desafíos de las pruebas de seguridad, junto con algunas técnicas y herramientas que uno puede aplicar para encontrar cualquier problema existente en su código .

Los participantes que asistan a este curso

• Comprender los conceptos básicos de seguridad, seguridad de TI y codificación segura
• Comprenda las vulnerabilidades web tanto en el lado del servidor como del lado del cliente
• Tenga en cuenta las graves consecuencias del manejo no seguro de búfer
• Infórmese sobre algunas vulnerabilidades recientes en entornos y marcos de desarrollo
• Conozca los errores típicos de codificación y cómo evitarlos
• Comprender los enfoques y metodologías de las pruebas de seguridad

Audiencia

Gerentes

El curso proporciona habilidades esenciales para los desarrolladores de PHP necesarios para hacer sus aplicaciones resistentes a los ataques contemporáneos a través de Internet. Las vulnerabilidades web se discuten a través de ejemplos basados ​​en PHP que van más allá del top 10 de OWASP, abordando varios ataques de inyección, inyecciones de scripts, ataques contra el manejo de sesiones de PHP, referencias a objetos directos inseguros, problemas con la carga de archivos y muchos otros. Las vulnerabilidades relacionadas con PHP se introducen agrupadas en los tipos de vulnerabilidad estándar de validación de entrada ausente o incorrecta, manejo incorrecto de errores y excepciones, uso incorrecto de características de seguridad y problemas relacionados con el tiempo y el estado. Para este último discutimos ataques como la evasión de open_basedir, la denegación de servicio a través del flotador mágico o el ataque de colisión de mesa hash. En todos los casos los participantes se familiarizarán con las técnicas y funciones más importantes que se utilizarán para mitigar los riesgos alistados.

Se presta especial atención a la seguridad del cliente, abordando los problemas de seguridad de JavaScript, Ajax y HTML5. Una serie de extensiones relacionadas con la seguridad de PHP se introducen como hash, mcrypt y OpenSSL para la criptografía, o Ctype, ext / filtro y purificador de HTML para la validación de entrada. Las mejores prácticas de endurecimiento se dan en conexión con la configuración de PHP (configuración de php.ini), Apache y el servidor en general. Por último, se ofrece una visión general de las diversas herramientas y técnicas de prueba de seguridad que los desarrolladores y probadores pueden utilizar, incluidos escáneres de seguridad, pruebas de penetración y paquetes de exploit, sniffers, servidores proxy, herramientas fuzzing y analizadores de código fuente estático.

Tanto la introducción de vulnerabilidades como las prácticas de configuración están respaldadas por una serie de ejercicios prácticos que demuestran las consecuencias de los ataques exitosos, mostrando cómo aplicar técnicas de mitigación e introducir el uso de varias extensiones y herramientas.

Los participantes que asistan a este curso

• Comprender conceptos básicos de seguridad, seguridad de TI y codificación segura
• Aprenda las vulnerabilidades Web más allá de OWASP Top Ten y sepa cómo evitarlas
• Aprenda las vulnerabilidades del cliente y las prácticas de codificación seguras.
• Tener una comprensión práctica de la criptografía
• Aprenda a utilizar varias funciones de seguridad de PHP
• Aprenda sobre errores típicos de codificación y cómo evitarlos
• Estar informado sobre las vulnerabilidades recientes del framework PHP
• Obtener conocimientos prácticos sobre el uso de herramientas de prueba de seguridad
• Obtenga fuentes y lecturas adicionales sobre prácticas de codificación seguras

Audiencia

Desarrolladores

La capacitación principal de SDL combinado ofrece una perspectiva del diseño, desarrollo y prueba de software seguro a través del ciclo de vida de desarrollo seguro de Microsoft (SDL). Proporciona una descripción general del nivel 100 de los bloques de construcción fundamentales de SDL, seguido de técnicas de diseño para aplicar y detectar fallas en las primeras etapas del proceso de desarrollo.

En relación con la fase de desarrollo, el curso ofrece una descripción general de los errores típicos de programación relevantes para la seguridad de los códigos administrados y nativos. Los métodos de ataque se presentan para las vulnerabilidades comentadas junto con las técnicas de mitigación asociadas, todas explicadas a través de una serie de ejercicios prácticos que brindan diversión en vivo para los participantes. La introducción de diferentes métodos de prueba de seguridad es seguida demostrando la efectividad de varias herramientas de prueba. Los participantes pueden entender el funcionamiento de estas herramientas a través de una serie de ejercicios prácticos aplicando las herramientas al código vulnerable ya discutido.

Los participantes que asistan a este curso

• Comprender los conceptos básicos de seguridad, seguridad de TI y codificación segura.

• Conozca los pasos esenciales de Microsoft Secure Development Lifecycle.

• Aprender prácticas seguras de diseño y desarrollo.

• Aprenda sobre los principios de implementación segura

• Comprender la metodología de las pruebas de seguridad.

• Obtenga fuentes y lecturas adicionales sobre prácticas de codificación seguras

Audiencia

Desarrolladores, Gerentes

Después de familiarizarse con las vulnerabilidades y los métodos de ataque, los participantes aprenden sobre el enfoque general y la metodología para las pruebas de seguridad y las técnicas que pueden aplicarse para revelar vulnerabilidades específicas. Las pruebas de seguridad deben comenzar con la recolección de información sobre el sistema (ToC, es decir, el objetivo de la evaluación), entonces un modelado exhaustivo de la amenaza debe revelar y calificar todas las amenazas, llegando al plan de pruebas más adecuado.

Las evaluaciones de seguridad pueden ocurrir en varios pasos del SDLC, por lo que discutimos la revisión de diseño, revisión de código, reconocimiento y recopilación de información sobre el sistema, probando la implementación y las pruebas y endureciendo el entorno para un despliegue seguro. Muchas técnicas de prueba de seguridad diferentes se introducen en detalles, como análisis de manchas y análisis de código basado en heurísticas, análisis de código estático, pruebas dinámicas de vulnerabilidad en la web o fuzzing. Se introducen varios tipos de herramientas que pueden aplicarse para automatizar la evaluación de la seguridad de los productos de software, lo que también es apoyado por una serie de ejercicios, en los que ejecutamos estas herramientas para analizar el ya discutido código vulnerable. Muchos estudios de casos de la vida real apoyan una mejor comprensión de diversas vulnerabilidades.

Este curso prepara a los probadores y al personal de control de calidad para planificar y ejecutar con precisión las pruebas de seguridad, seleccionar y utilizar las herramientas y técnicas más apropiadas para encontrar incluso fallas de seguridad ocultas y, por lo tanto, proporciona habilidades prácticas esenciales que pueden aplicarse al día siguiente.

Los participantes que asistan a este curso

• Comprender conceptos básicos de seguridad, seguridad de TI y codificación segura
• Aprenda las vulnerabilidades Web más allá de OWASP Top Ten y sepa cómo evitarlas
• Aprenda las vulnerabilidades del cliente y las prácticas de codificación seguras.
• Entender los métodos y metodologías de pruebas de seguridad
• Obtener conocimientos prácticos sobre el uso de técnicas y herramientas de pruebas de seguridad
• Obtenga fuentes y lecturas adicionales sobre prácticas de codificación seguras

Audiencia

Desarrolladores, probadores

La protección de las aplicaciones a las que se puede acceder a través de la web requiere un profesional de seguridad bien preparado que esté al tanto de los métodos y tendencias de ataque actuales. Existe una gran cantidad de tecnologías y entornos que permiten el desarrollo cómodo de aplicaciones web. Uno no solo debe ser consciente de los problemas de seguridad relevantes para estas plataformas, sino también de todas las vulnerabilidades generales que se aplican independientemente de las herramientas de desarrollo utilizadas.

El curso ofrece una descripción general de las soluciones de seguridad aplicables en aplicaciones web, con un enfoque especial en la comprensión de las soluciones criptográficas más importantes que deben aplicarse. Las diversas vulnerabilidades de las aplicaciones web se presentan tanto en el lado del servidor (siguiendo el Top Ten de OWASP ) como en el lado del cliente, se demuestran a través de los ataques relevantes y siguen las técnicas de codificación y los métodos de mitigación recomendados para evitar los problemas asociados. El tema de la codificación segura se concluye al analizar algunos errores típicos de programación relevantes para la seguridad en el dominio de la validación de entradas, el uso incorrecto de las funciones de seguridad y la calidad del código.

Las pruebas desempeñan un papel muy importante para garantizar la seguridad y la solidez de las aplicaciones web. Se pueden aplicar varios enfoques, desde auditorías de alto nivel a través de pruebas de penetración hasta pirateos éticos, para encontrar vulnerabilidades de diferentes tipos. Sin embargo, si desea ir más allá de las frutas fáciles de encontrar, las pruebas de seguridad deben estar bien planificadas y ejecutadas correctamente. Recuerde: los evaluadores de seguridad deberían encontrar idealmente todos los errores para proteger un sistema, mientras que para los adversarios es suficiente encontrar una vulnerabilidad explotable para penetrar en él.

Los ejercicios prácticos ayudarán a comprender las vulnerabilidades de las aplicaciones web, los errores de programación y, lo que es más importante, las técnicas de mitigación, junto con las pruebas prácticas de diversas herramientas de prueba de escáneres de seguridad, a través de sniffers, servidores proxy, herramientas de fuzzing para analizadores de código fuente estáticos. Habilidades prácticas esenciales que se pueden aplicar al día siguiente en el lugar de trabajo.

Los participantes que asistan a este curso

• Comprender los conceptos básicos de seguridad, seguridad de TI y codificación segura.
• Conozca las vulnerabilidades de la Web más allá del Top Ten de OWASP y sepa cómo evitarlas.
• Aprenda las vulnerabilidades del lado del cliente y las prácticas de codificación seguras.
• Tener una comprensión práctica de la criptografía.
• Comprender los enfoques y metodologías de las pruebas de seguridad.
• Obtenga conocimientos prácticos sobre el uso de técnicas y herramientas de pruebas de seguridad.
• Manténgase informado sobre las vulnerabilidades recientes en diversas plataformas, marcos y bibliotecas
• Obtenga fuentes y lecturas adicionales sobre prácticas de codificación seguras

Audiencia

Desarrolladores, Testers

En este curso en vivo dirigido por un instructor en Colombia, los participantes aprenderán a formular la estrategia de seguridad adecuada para enfrentar el desafío de seguridad DevOps.

Este curso en Colombia tiene como objetivo ayudar en lo siguiente:

1. Ayuda a los desarrolladores a dominar las técnicas de escritura Secure Code
2. Ayude a los probadores de software a probar la seguridad de la aplicación antes de publicarla en el entorno de producción
3. Ayudar a los arquitectos de software a comprender los riesgos que rodean a las aplicaciones
4. Ayudar a los líderes de equipo a establecer las líneas base de seguridad para los desarrolladores
5. Ayude a los Web Masters a configurar los servidores para evitar errores de configuración

Este curso cubre los conceptos y principios de codificación segura con Java a través de la metodología de prueba del Proyecto de seguridad de aplicaciones web abiertas (OWASP). El Proyecto de seguridad de aplicaciones web abiertas es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías disponibles gratuitamente en el campo de la seguridad de aplicaciones web.

Este curso cubre los conceptos y principios de codificación segura con ASP.net a través de la metodología de prueba Open Web Application Security Project (OWASP), OWASP es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías disponibles gratuitamente en el campo de la seguridad de aplicaciones web. 

Este curso explora las características de seguridad de Dot Net Framework y cómo proteger las aplicaciones web.