Este curso brinda las habilidades esenciales que los desarrolladores de PHP necesitan para hacer que sus aplicaciones sean resistentes a los ataques contemporáneos realizados a través de Internet. Se analizan vulnerabilidades web mediante ejemplos basados en PHP que van más allá de las principales amenazas del OWASP Top Ten, abordando diversos tipos de inyección, inyecciones de scripts, ataques contra la gestión de sesiones de PHP, referencias directas inseguras a objetos, problemas relacionados con la carga de archivos, entre muchos otros. Las vulnerabilidades relacionadas con PHP se presentan agrupadas en los tipos estándar de fallos: validación de entrada ausente o incorrecta, manejo inadecuado de errores y excepciones, uso indebido de características de seguridad, y problemas relacionados con el tiempo y el estado. En este último caso, se discuten ataques como la evasión de open_basedir, denegación de servicio mediante floats mágicos o el ataque de colisión de tablas hash. En todos los casos, los participantes se familiarizarán con las técnicas y funciones más importantes para mitigar los riesgos enumerados.
Se presta especial atención a la seguridad del lado del cliente, abordando problemas de seguridad en JavaScript, Ajax y HTML5. Se presentan diversas extensiones de seguridad para PHP, como hash, mcrypt y OpenSSL para criptografía, o Ctype, ext/filter y HTML Purifier para la validación de entrada. Se exponen las mejores prácticas de endurecimiento en relación con la configuración de PHP (archivo php.ini), Apache y el servidor en general. Por último, se ofrece una visión general de diversas herramientas y técnicas de pruebas de seguridad que desarrolladores y testers pueden utilizar, incluyendo escáneres de seguridad, pruebas de penetración y packs de exploits, analizadores de tráfico, servidores proxy, herramientas de fuzzing y analizadores estáticos de código fuente.
Tanto la introducción de las vulnerabilidades como las prácticas de configuración se respaldan con numerosos ejercicios prácticos que demuestran las consecuencias de ataques exitosos, muestran cómo aplicar técnicas de mitigación e introducen el uso de diversas extensiones y herramientas.
Los participantes que asistan a este curso
- Comprenderán los conceptos básicos de seguridad, seguridad de TI y programación segura
- Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas
- Aprenderán sobre vulnerabilidades del lado del cliente y prácticas de programación segura
- Tendrán una comprensión práctica de la criptografía
- Aprenderán a utilizar diversas características de seguridad de PHP
- Conocerán errores típicos de codificación y cómo evitarlos
- Se mantendrán informados sobre las vulnerabilidades recientes del framework PHP
- Adquirirán conocimientos prácticos sobre el uso de herramientas de pruebas de seguridad
- Obtendrán fuentes y lecturas adicionales sobre prácticas de programación segura
Público objetivo
Desarrolladores
Leer más...
