SlideShare una empresa de Scribd logo

Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles versión 2.19 sharpmind software

Descargar como PPTX, PDF
A
amaulini

Este documento presenta el contenido y objetivos de un curso sobre seguridad para aplicaciones web y móviles. El curso busca mejorar la capacitación de desarrolladores en procesos de seguridad como la prevención y detección de ataques. Cubrirá temas como vulnerabilidades comunes, técnicas de hacking, seguridad móvil y cómo prevenir ataques. El curso durará aproximadamente 20 horas e incluirá ejemplos prácticos y ejercicios utilizando aplicaciones deliberadamente vulnerables.

Internet
1 de 19
Las técnicas de la seguridad de aplicaciones web y móviles ya no son tecnología reservada para hackers y pen-testers.
Curso de Seguridad para Aplicaciones Web y Móviles
Mejorar y actualizar la capacitación personal de seguridad de sistemas y desarrolladores de aplicaciones web y/o móviles en los procesos concernientes a la defensa tanto preventiva como reactiva de las aplicaciones web y/o móviles, así como en la defensa de la integridad, confidencialidad, disponibilidad e irrefutabilidad de los datos y transacciones por estas procesados. Objetivo General del Curso:
• Actualizar al participante en la filosofía seguridad necesaria para los procesos de desarrollo de software, instalación de software de terceros y mantenimiento de plataformas para ambos casos. • Introducir al participante en el conocimiento de la mentalidad, comportamiento, motivaciones y entorno de los diferentes tipos de atacante. • Mostrar al participante los motivos por los cuales sus aplicaciones web y móviles son inseguras. • Introducir al participante en el conocimiento de las técnicas de intrusión utilizadas por el atacante mediante ejemplos prácticos y ejercicios de ataque a servidores intencionalmente vulnerables. Objetivos en detalle:
• Mostrar al asistente los errores de desarrollo, programación, instalación y mantenimiento más comunes, basados en los estándares OWASP y WASC. • Desarrollo de ejemplos prácticos de errores de puesta en marcha de servidores IIS y Apache mediante ejemplos y ejercicios sobre servidores intencionalmente vulnerables • Mostrar al asistente las técnicas de prevención, control, detección y corrección de vulnerabilidades de las aplicaciones web y móviles en sus entornos operativos. • Inducir al uso de “scanners” de vulnerabilidades mediante ejemplos y ejercicios prácticos sobre servidores intencionalmente vulnerables • Proveer al asistente de acceso a una serie de recursos y utilidades que le faciliten el cumplimiento de los objetivos expuestos. Objetivos en detalle (continuación:
Contenido programático: Introducción • Ley de Murphy aplicada a la seguridad de aplicaciones web y móviles • ¿Quiénes y porqué atacan a las aplicaciones web y móviles? • ¿Qué es en realidad un hacker? Más allá del mito de Hollywood… • Pensar como un hacker… • ¿Qué motiva a un hacker? • H4c|<3r j4rg0n (Hacker jargon) • ¿Porqué atacan a las aplicaciones web? • ¿Porqué atacan a las aplicaciones móviles?
Contenido programático (cont): Vulnerabilidades de las aplicaciones web y cómo remediarlas • Decálogo de seguridad del desarrollo de aplicaciones web • Anatomía de un ataque a una aplicación web • ¿Qué es OWASP? • Proyectos OWASP • ¿Qué es el OWASP Top Ten 2010? 1. Inyección de código o de comandos. 2. Cross Site Scripting, XSS. 3. Autentificación de usuarios y manejo de sesión débiles 4. Objetos referenciados directamente de forma insegura. 5. Cross Site Request Forgery (CRSF). 6. Fallas de Configuración de Seguridad. 7. Almacenamiento criptográfico inseguro 8. Fallas en restricción de acceso a URLs. 9. Insuficiente protección en la capa de transporte. 10. Redirecciones y reenvíos sin debida validación.
Vulnerabilidades de las aplicaciones web y cómo remediarlas Cada uno de los tipos de vulnerabilidades del top 10 OWASP serán probados por los asistentes mediante ejercicios de ataque e intrusión a una aplicación web deliberadamente vulnerable. Conocimiento de las herramientas de aprendizaje para los diferentes casos y plataformas de desarrollo: • OWASP WEBGOAT • Otras herramientas de intrusión deliberadamente vulnerables Contenido programático (cont):
• Clasificación de amenazas WASC • Los 25 errores de código más peligrosos – CWE / SANS • Escanners de Vulnerabilidades (Comerciales). • Escanners de Vulnerabilidades (Open Source). • Test de escaneo de vulnerabilidades sobre servidor intencionalmente vulnerable. • OWASP Cheat Sheets (Hojas de trucos). • Application Failure DoS. • Tipos de Application Failure DoS y razones por las que son factibles. • Cómo prevenirlos. • Técnicas de mitigación de ataques de DDoS • Ensayos de técnicas de DoS sobre servidores deliberadamente vulnerables. • Ensayos y ejemplos prácticos sobre librerías de cifrado y técnicas de cifrado compuestas Contenido programático (cont):
Resumen del documento OWASP Secure Coding Práctices • Input Validation. • Output encoding. • Authentication and Password Management. • Session Control. • Uso de librerías de control y validación de input y output más comunes por plataformas e instalación con ejemplos en vivo y ejercicios. Técnicas de ataque directo al usuario. • Nuevas amenazas y nuevas versiones de amenazas conocidas • Spear Phishing y Whale Phishing. • Tab Nabbing. • Pharming local. • Man in the Browser Attack. • MIM attack (sniffers, keyloggers y otros). • Troyanos Bancarios Especializados. • Phishing Móvil, Vishing.
• Phishing Tradicional • Análisis detallados de las técnicas utilizadas por el atacante. • El costo real del Phishing. • Cálculo del costo por hora y acumulativo del Phishing. • Filtros Anti Phishing. • Datos a tomar en cuenta en un ataque de Phishing. • Cómo defenderse de un ataque de Phishing. • Procesos para denunciar el sitio de Phishing. • Montando un phishing en tiempo real (ejercicio) • Phishing Avanzado - Nuevas modalidades y variantes • Spear-Phishing • Vishing - Phishing VoIP • Phishing Móvil! • Ataques simultáneos basados en diferentes servidores de sitios web comprometidos. • Ataques basados en múltiples dominios de recepción. • Social Network Phishing (Ejercicio en tiempo real) Contenido programático (cont):
• Tab Nabbing. (ejemplos prácticos) • Pharming: • Tipos de Pharming • Pharming – Proceso de ataque • Clickjacking y técnicas de prevención del mismo. • Sniffing. • Captura de encabezados HTTP (HTTP sniffing). • Keyloggers. (Ejemplos en tiempo real) • MIB (Man in the Browser). Contenido programático (cont):
Debilidades de las aplicaciones web que afectan directamente a sus usuarios. • Debilidades que pueden comprometer la verificación de autenticidad del sitio por parte del usuario. • Debilidades que facilitan el phishing u otros problemas de clonación del sitio. • Debilidades que facilitan el escaneo del sitio y la búsqueda de vulnerabilidades. • Debilidades que permiten la captura de datos por parte de BHO’s, keyloggers y troyanos especializados y otros tipos de “malware”. • Debilidades que facilitan métodos de ingreso por fuerza bruta o el uso de herramientas de escaneo. • Debilidades que facilitan ataques de XSS, Clickjacking y otros. • Debilidades referentes al SSL o HTTPS. Contenido programático (cont):
Análisis de técnicas de defensa directa y prevención de ataques. • Los Teclados Virtuales. • Autentificación Bidireccional. • Autentificación multi-plataforma. • Handlers de imágenes con control de referencia. • Handlers de scripts. • Web Application Firewalls (WAF). • Honeypots. • Bloqueadores de detectores de vulnerabilidades. • Bloqueadores de escaneo. • Rastreadores de comportamiento del usuario. • Bitácoras de aplicación. • Manejadores de logs. • Técnicas de control de errores avanzadas. • Desarrollo en tiempo real de un bloqueador de “scanners” de vulnerabilidades Contenido programático (cont):
Capítulo especial: Seguridad de Aplicaciones móviles • Nuevos entornos, nuevas amenazas. • Introducción rápida al ecosistema de las aplicaciones móviles. • Sistemas operativos, plataformas, entornos de desarrollo y entornos de desarrollo multiplataforma • El don de la ubicuidad como estímulo al incremento de ataques. • Tipos de aplicaciones móviles en relación a su seguridad. • Factores que promueven el aumento de vulnerabilidades en las aplicaciones móviles. • Amenazas a la privacidad del usuario basadas en nuevos tipos de datos “no tradicionales”. • Interrelación de seguridad entre aplicaciones móviles y servicios ubicados en la web. • Vulnerabilidades específicas de los entornos de aplicaciones móviles. • OWASP Mobile Security Project. • Top 10 Mobile Risks, Release Candidate v1.0 • OWASP GoatDroid Contenido programático (cont):
Vulnerabilidades de aplicaciones móviles y como remediarlas: • Qué es el OWASP Mobile Security Proyect • Los 10 riesgos más importantes de las aplicaciones móviles
Dictado por: Mauro Maulini Rubiera. Experimentado desarrollador y programador especializado en seguridad web con más de 18 años dedicados en el área de lnternet y desarrollos de aplicaciones web y aplicaciones móviles. Con experiencia comprobada en desarrollo de plataformas bancarias en la web para bancos e instituciones en Venezuela. Actualmente presidente de e- Securing C.A., empresa que ofrece soluciones de seguridad web para empresas financieras. Creador de los conocidos estudios: Vulnerabilidades de la Banca en Línea, Capítulos Venezuela, Guatemala y Ecuador. Más información en: http://tecnologiasweb.blogspot.com/p/acerca-de-mi.html Ha dictado este curso para 8 de las 10 entidades bancarias más importantes en Venezuela, también para la Asociación Bancaria de Guatemala y recientemente en Quito y Guayaquil (Ecuador) en asociación con Banred S.A.
Información adicional: En el curso se utilizarán ejemplos prácticos en la mayoría de los casos, creados mediante código intencionalmente vulnerable o en aplicaciones deliberadamente vulnerables bajo entornos controlados. Todos los ejemplos de código necesarios se presentan en tres lenguajes de desarrollo, a saber: Java (jsp), C# ASP.NET y PHP. Todos los capítulos cerrarán con ejercicios y tutoriales específicos para los asistentes. Se proveerá un servidor preparado con aplicaciones deliberadamente vulnerables a las que los asistentes intentarán atacar Los ejemplos relativos a aplicaciones móviles serán presentados en Android y/o Windows Phone 7.5 Duración del curso: 20 horas (+/- 2 horas dependiendo de la asistencia).
Para más información puede comunicarse con: Mauro Maulini R. http://tecnologíasweb.blogspot.com @backslask on Twitter Porlamar - Isla de Margarita - Venezuela +58 295 4160387 +58 414 0894627 Contáctame por Skype callto:mauro.maulini

Recomendados

Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
mauromaulinir
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
mauromaulinir
 
Curso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalCurso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético Digital
ICEMD
 
Curso de Hacking Aplicaciones Web 2020
Curso de Hacking Aplicaciones Web 2020Curso de Hacking Aplicaciones Web 2020
Curso de Hacking Aplicaciones Web 2020
Alonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web 2019
Curso Virtual de Hacking Aplicaciones Web 2019Curso Virtual de Hacking Aplicaciones Web 2019
Curso Virtual de Hacking Aplicaciones Web 2019
Alonso Caballero
 
Curso Virtual de Hacking Ético 2019
Curso Virtual de Hacking Ético 2019Curso Virtual de Hacking Ético 2019
Curso Virtual de Hacking Ético 2019
Alonso Caballero
 
Curso Virtual de Hacking Ético 2019
Curso Virtual de Hacking Ético 2019Curso Virtual de Hacking Ético 2019
Curso Virtual de Hacking Ético 2019
Alonso Caballero
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
celiaflores
 

Recomendados

Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
mauromaulinir
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
mauromaulinir
 
Curso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalCurso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético Digital
ICEMD
 
Curso de Hacking Aplicaciones Web 2020
Curso de Hacking Aplicaciones Web 2020Curso de Hacking Aplicaciones Web 2020
Curso de Hacking Aplicaciones Web 2020
Alonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web 2019
Curso Virtual de Hacking Aplicaciones Web 2019Curso Virtual de Hacking Aplicaciones Web 2019
Curso Virtual de Hacking Aplicaciones Web 2019
Alonso Caballero
 
Curso Virtual de Hacking Ético 2019
Curso Virtual de Hacking Ético 2019Curso Virtual de Hacking Ético 2019
Curso Virtual de Hacking Ético 2019
Alonso Caballero
 
Curso Virtual de Hacking Ético 2019
Curso Virtual de Hacking Ético 2019Curso Virtual de Hacking Ético 2019
Curso Virtual de Hacking Ético 2019
Alonso Caballero
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
celiaflores
 
Curso Virtual de Hacking Ético 2020
Curso Virtual de Hacking Ético 2020Curso Virtual de Hacking Ético 2020
Curso Virtual de Hacking Ético 2020
Alonso Caballero
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
NPROS Perú
 
Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019
Alonso Caballero
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitationjack_corvil
 
Webinar Gratuito: Hacking Ético
Webinar Gratuito: Hacking ÉticoWebinar Gratuito: Hacking Ético
Webinar Gratuito: Hacking Ético
Alonso Caballero
 
Curso Virtual Hacking Aplicaciones Web
Curso Virtual Hacking Aplicaciones WebCurso Virtual Hacking Aplicaciones Web
Curso Virtual Hacking Aplicaciones Web
Alonso Caballero
 
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
ICEMD
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9Universidad Kino A.C.
 
Riesgos de la informacion electronica
Riesgos de la informacion electronicaRiesgos de la informacion electronica
Riesgos de la informacion electronica
SergioTorres268
 
Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...
Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...
Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...
RootedCON
 
Exposicion univ simon_bolivar
Exposicion univ simon_bolivarExposicion univ simon_bolivar
Exposicion univ simon_bolivarGrupo Educativo Cepea
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
Alonso Caballero
 
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...
RootedCON
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios
Rafael Seg
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
Hacking Bolivia
 
EL RANSOMWARE by pseudor00t
EL RANSOMWARE by pseudor00t EL RANSOMWARE by pseudor00t
EL RANSOMWARE by pseudor00t
pseudor00t overflow
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
Alonso Caballero
 
Mapa mental
Mapa mentalMapa mental
Mapa mentalSandy Montoya Reyes
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
n3xasec
 
Curso de Hacking Ético 2013
Curso de Hacking Ético 2013Curso de Hacking Ético 2013
Curso de Hacking Ético 2013
NPROS Perú
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
Idat
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Alonso Caballero
 

Más contenido relacionado

La actualidad más candente

Curso Virtual de Hacking Ético 2020
Curso Virtual de Hacking Ético 2020Curso Virtual de Hacking Ético 2020
Curso Virtual de Hacking Ético 2020
Alonso Caballero
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
NPROS Perú
 
Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019
Alonso Caballero
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitationjack_corvil
 
Webinar Gratuito: Hacking Ético
Webinar Gratuito: Hacking ÉticoWebinar Gratuito: Hacking Ético
Webinar Gratuito: Hacking Ético
Alonso Caballero
 
Curso Virtual Hacking Aplicaciones Web
Curso Virtual Hacking Aplicaciones WebCurso Virtual Hacking Aplicaciones Web
Curso Virtual Hacking Aplicaciones Web
Alonso Caballero
 
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
ICEMD
 
Riesgos de la informacion electronica
Riesgos de la informacion electronicaRiesgos de la informacion electronica
Riesgos de la informacion electronica
SergioTorres268
 
Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...
Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...
Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...
RootedCON
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
Alonso Caballero
 
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...
RootedCON
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios
Rafael Seg
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
Hacking Bolivia
 
EL RANSOMWARE by pseudor00t
EL RANSOMWARE by pseudor00t EL RANSOMWARE by pseudor00t
EL RANSOMWARE by pseudor00t
pseudor00t overflow
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
Alonso Caballero
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
n3xasec
 
Curso de Hacking Ético 2013
Curso de Hacking Ético 2013Curso de Hacking Ético 2013
Curso de Hacking Ético 2013
NPROS Perú
 

La actualidad más candente (20)

Curso Virtual de Hacking Ético 2020
Curso Virtual de Hacking Ético 2020Curso Virtual de Hacking Ético 2020
Curso Virtual de Hacking Ético 2020
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
 
Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitation
 
Webinar Gratuito: Hacking Ético
Webinar Gratuito: Hacking ÉticoWebinar Gratuito: Hacking Ético
Webinar Gratuito: Hacking Ético
 
Curso Virtual Hacking Aplicaciones Web
Curso Virtual Hacking Aplicaciones WebCurso Virtual Hacking Aplicaciones Web
Curso Virtual Hacking Aplicaciones Web
 
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Riesgos de la informacion electronica
Riesgos de la informacion electronicaRiesgos de la informacion electronica
Riesgos de la informacion electronica
 
Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...
Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...
Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...
 
Exposicion univ simon_bolivar
Exposicion univ simon_bolivarExposicion univ simon_bolivar
Exposicion univ simon_bolivar
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
 
EL RANSOMWARE by pseudor00t
EL RANSOMWARE by pseudor00t EL RANSOMWARE by pseudor00t
EL RANSOMWARE by pseudor00t
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Mapa mental
Mapa mentalMapa mental
Mapa mental
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
 
Curso de Hacking Ético 2013
Curso de Hacking Ético 2013Curso de Hacking Ético 2013
Curso de Hacking Ético 2013
 

Similar a Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles versión 2.19 sharpmind software

Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
Idat
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Alonso Caballero
 
hackinbo.pdf
hackinbo.pdfhackinbo.pdf
hackinbo.pdf
Hacking Bolivia
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
kougar80
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Luis Fernando Aguas Bucheli
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
camposer
 
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
romeroabelci00
 
CIBERSEGURIDAD Y SEGURIDAD INFORMÁTICA .pptx
CIBERSEGURIDAD Y SEGURIDAD INFORMÁTICA .pptxCIBERSEGURIDAD Y SEGURIDAD INFORMÁTICA .pptx
CIBERSEGURIDAD Y SEGURIDAD INFORMÁTICA .pptx
romeroabelci00
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
Andrés Gómez
 
Dns malware iicybersecurity
Dns malware iicybersecurityDns malware iicybersecurity
Dns malware iicybersecurity
David Thomas
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
eccutpl
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
Eduardo Arriols Nuñez
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Alonso Caballero
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
Fernando Solis
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de ti
Mario Nizama
 
exposición sandra gaytan 1B
exposición sandra gaytan 1Bexposición sandra gaytan 1B
exposición sandra gaytan 1Bsandragaytan18
 

Similar a Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles versión 2.19 sharpmind software (20)

Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
hackinbo.pdf
hackinbo.pdfhackinbo.pdf
hackinbo.pdf
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
 
CIBERSEGURIDAD Y SEGURIDAD INFORMÁTICA .pptx
CIBERSEGURIDAD Y SEGURIDAD INFORMÁTICA .pptxCIBERSEGURIDAD Y SEGURIDAD INFORMÁTICA .pptx
CIBERSEGURIDAD Y SEGURIDAD INFORMÁTICA .pptx
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
Dns malware iicybersecurity
Dns malware iicybersecurityDns malware iicybersecurity
Dns malware iicybersecurity
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
Troyanos
TroyanosTroyanos
Troyanos
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de ti
 
exposición sandra gaytan 1B
exposición sandra gaytan 1Bexposición sandra gaytan 1B
exposición sandra gaytan 1B
 

Último

10. Táctica y Estrategia en Fútbol autor Oscar Milton Rivas (1).pdf
10. Táctica y Estrategia en Fútbol autor Oscar Milton Rivas (1).pdf10. Táctica y Estrategia en Fútbol autor Oscar Milton Rivas (1).pdf
10. Táctica y Estrategia en Fútbol autor Oscar Milton Rivas (1).pdf
XxsmalXxYT
 
derecho penal busqueda de pruebas en el derecho penal peruano latinoamericano
derecho penal busqueda de pruebas en el derecho penal peruano latinoamericanoderecho penal busqueda de pruebas en el derecho penal peruano latinoamericano
derecho penal busqueda de pruebas en el derecho penal peruano latinoamericano
edwinchiri2
 
EXPERIENCIA PROYECTOS STARTUP JAVIER LASA
EXPERIENCIA PROYECTOS STARTUP JAVIER LASAEXPERIENCIA PROYECTOS STARTUP JAVIER LASA
EXPERIENCIA PROYECTOS STARTUP JAVIER LASA
Javier Lasa
 
Sistemas-de-Numeración-para-Primero-de-Secundaria.doc
Sistemas-de-Numeración-para-Primero-de-Secundaria.docSistemas-de-Numeración-para-Primero-de-Secundaria.doc
Sistemas-de-Numeración-para-Primero-de-Secundaria.doc
LuisEnriqueCarboneDe
 
FISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIO
FISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIOFISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIO
FISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIO
DarwinNestorArapaQui
 
WordPress training basics - básicos de cómo enseñar WordPress
WordPress training basics - básicos de cómo enseñar WordPressWordPress training basics - básicos de cómo enseñar WordPress
WordPress training basics - básicos de cómo enseñar WordPress
Fernando Tellado
 
Biografía Eugenio Díaz Castro su vida y su libros
Biografía Eugenio Díaz Castro su vida y su librosBiografía Eugenio Díaz Castro su vida y su libros
Biografía Eugenio Díaz Castro su vida y su libros
jhannimejia
 
Estructuras b-sicas_ conceptos b-sicos de programaci-n.pdf
Estructuras b-sicas_ conceptos b-sicos de programaci-n.pdfEstructuras b-sicas_ conceptos b-sicos de programaci-n.pdf
Estructuras b-sicas_ conceptos b-sicos de programaci-n.pdf
edepjuanorozco
 
Presentación Arduino, proyecto colectivo
Presentación Arduino, proyecto colectivoPresentación Arduino, proyecto colectivo
Presentación Arduino, proyecto colectivo
juanlemus11122
 
ayuda en egresos exposición aps 1 grupal
ayuda en egresos exposición aps 1 grupalayuda en egresos exposición aps 1 grupal
ayuda en egresos exposición aps 1 grupal
jesusmedina766305
 
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente CruzattSEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
vicenteariana54
 
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
AlexanderCR12
 
Diapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptxDiapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptx
erick502105
 
Clases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicosClases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicos
mcavero2019
 
EduLearnIAappde IAparatodosdisponible.pptx
EduLearnIAappde IAparatodosdisponible.pptxEduLearnIAappde IAparatodosdisponible.pptx
EduLearnIAappde IAparatodosdisponible.pptx
Elizabeth Mejia
 
Los derechos de autor y Ética Profesional
Los derechos de autor y Ética ProfesionalLos derechos de autor y Ética Profesional
Los derechos de autor y Ética Profesional
bgonzalezm20
 
blog.pdf de coceptos de personalidad....
blog.pdf de coceptos de personalidad....blog.pdf de coceptos de personalidad....
blog.pdf de coceptos de personalidad....
JosvilAngel
 

Último (17)

10. Táctica y Estrategia en Fútbol autor Oscar Milton Rivas (1).pdf
10. Táctica y Estrategia en Fútbol autor Oscar Milton Rivas (1).pdf10. Táctica y Estrategia en Fútbol autor Oscar Milton Rivas (1).pdf
10. Táctica y Estrategia en Fútbol autor Oscar Milton Rivas (1).pdf
 
derecho penal busqueda de pruebas en el derecho penal peruano latinoamericano
derecho penal busqueda de pruebas en el derecho penal peruano latinoamericanoderecho penal busqueda de pruebas en el derecho penal peruano latinoamericano
derecho penal busqueda de pruebas en el derecho penal peruano latinoamericano
 
EXPERIENCIA PROYECTOS STARTUP JAVIER LASA
EXPERIENCIA PROYECTOS STARTUP JAVIER LASAEXPERIENCIA PROYECTOS STARTUP JAVIER LASA
EXPERIENCIA PROYECTOS STARTUP JAVIER LASA
 
Sistemas-de-Numeración-para-Primero-de-Secundaria.doc
Sistemas-de-Numeración-para-Primero-de-Secundaria.docSistemas-de-Numeración-para-Primero-de-Secundaria.doc
Sistemas-de-Numeración-para-Primero-de-Secundaria.doc
 
FISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIO
FISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIOFISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIO
FISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIO
 
WordPress training basics - básicos de cómo enseñar WordPress
WordPress training basics - básicos de cómo enseñar WordPressWordPress training basics - básicos de cómo enseñar WordPress
WordPress training basics - básicos de cómo enseñar WordPress
 
Biografía Eugenio Díaz Castro su vida y su libros
Biografía Eugenio Díaz Castro su vida y su librosBiografía Eugenio Díaz Castro su vida y su libros
Biografía Eugenio Díaz Castro su vida y su libros
 
Estructuras b-sicas_ conceptos b-sicos de programaci-n.pdf
Estructuras b-sicas_ conceptos b-sicos de programaci-n.pdfEstructuras b-sicas_ conceptos b-sicos de programaci-n.pdf
Estructuras b-sicas_ conceptos b-sicos de programaci-n.pdf
 
Presentación Arduino, proyecto colectivo
Presentación Arduino, proyecto colectivoPresentación Arduino, proyecto colectivo
Presentación Arduino, proyecto colectivo
 
ayuda en egresos exposición aps 1 grupal
ayuda en egresos exposición aps 1 grupalayuda en egresos exposición aps 1 grupal
ayuda en egresos exposición aps 1 grupal
 
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente CruzattSEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
 
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
 
Diapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptxDiapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptx
 
Clases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicosClases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicos
 
EduLearnIAappde IAparatodosdisponible.pptx
EduLearnIAappde IAparatodosdisponible.pptxEduLearnIAappde IAparatodosdisponible.pptx
EduLearnIAappde IAparatodosdisponible.pptx
 
Los derechos de autor y Ética Profesional
Los derechos de autor y Ética ProfesionalLos derechos de autor y Ética Profesional
Los derechos de autor y Ética Profesional
 
blog.pdf de coceptos de personalidad....
blog.pdf de coceptos de personalidad....blog.pdf de coceptos de personalidad....
blog.pdf de coceptos de personalidad....
 

Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles versión 2.19 sharpmind software

  • 1. Las técnicas de la seguridad de aplicaciones web y móviles ya no son tecnología reservada para hackers y pen-testers.
  • 2. Curso de Seguridad para Aplicaciones Web y Móviles
  • 3. Mejorar y actualizar la capacitación personal de seguridad de sistemas y desarrolladores de aplicaciones web y/o móviles en los procesos concernientes a la defensa tanto preventiva como reactiva de las aplicaciones web y/o móviles, así como en la defensa de la integridad, confidencialidad, disponibilidad e irrefutabilidad de los datos y transacciones por estas procesados. Objetivo General del Curso:
  • 4. • Actualizar al participante en la filosofía seguridad necesaria para los procesos de desarrollo de software, instalación de software de terceros y mantenimiento de plataformas para ambos casos. • Introducir al participante en el conocimiento de la mentalidad, comportamiento, motivaciones y entorno de los diferentes tipos de atacante. • Mostrar al participante los motivos por los cuales sus aplicaciones web y móviles son inseguras. • Introducir al participante en el conocimiento de las técnicas de intrusión utilizadas por el atacante mediante ejemplos prácticos y ejercicios de ataque a servidores intencionalmente vulnerables. Objetivos en detalle:
  • 5. • Mostrar al asistente los errores de desarrollo, programación, instalación y mantenimiento más comunes, basados en los estándares OWASP y WASC. • Desarrollo de ejemplos prácticos de errores de puesta en marcha de servidores IIS y Apache mediante ejemplos y ejercicios sobre servidores intencionalmente vulnerables • Mostrar al asistente las técnicas de prevención, control, detección y corrección de vulnerabilidades de las aplicaciones web y móviles en sus entornos operativos. • Inducir al uso de “scanners” de vulnerabilidades mediante ejemplos y ejercicios prácticos sobre servidores intencionalmente vulnerables • Proveer al asistente de acceso a una serie de recursos y utilidades que le faciliten el cumplimiento de los objetivos expuestos. Objetivos en detalle (continuación:
  • 6. Contenido programático: Introducción • Ley de Murphy aplicada a la seguridad de aplicaciones web y móviles • ¿Quiénes y porqué atacan a las aplicaciones web y móviles? • ¿Qué es en realidad un hacker? Más allá del mito de Hollywood… • Pensar como un hacker… • ¿Qué motiva a un hacker? • H4c|<3r j4rg0n (Hacker jargon) • ¿Porqué atacan a las aplicaciones web? • ¿Porqué atacan a las aplicaciones móviles?
  • 7. Contenido programático (cont): Vulnerabilidades de las aplicaciones web y cómo remediarlas • Decálogo de seguridad del desarrollo de aplicaciones web • Anatomía de un ataque a una aplicación web • ¿Qué es OWASP? • Proyectos OWASP • ¿Qué es el OWASP Top Ten 2010? 1. Inyección de código o de comandos. 2. Cross Site Scripting, XSS. 3. Autentificación de usuarios y manejo de sesión débiles 4. Objetos referenciados directamente de forma insegura. 5. Cross Site Request Forgery (CRSF). 6. Fallas de Configuración de Seguridad. 7. Almacenamiento criptográfico inseguro 8. Fallas en restricción de acceso a URLs. 9. Insuficiente protección en la capa de transporte. 10. Redirecciones y reenvíos sin debida validación.
  • 8. Vulnerabilidades de las aplicaciones web y cómo remediarlas Cada uno de los tipos de vulnerabilidades del top 10 OWASP serán probados por los asistentes mediante ejercicios de ataque e intrusión a una aplicación web deliberadamente vulnerable. Conocimiento de las herramientas de aprendizaje para los diferentes casos y plataformas de desarrollo: • OWASP WEBGOAT • Otras herramientas de intrusión deliberadamente vulnerables Contenido programático (cont):
  • 9. • Clasificación de amenazas WASC • Los 25 errores de código más peligrosos – CWE / SANS • Escanners de Vulnerabilidades (Comerciales). • Escanners de Vulnerabilidades (Open Source). • Test de escaneo de vulnerabilidades sobre servidor intencionalmente vulnerable. • OWASP Cheat Sheets (Hojas de trucos). • Application Failure DoS. • Tipos de Application Failure DoS y razones por las que son factibles. • Cómo prevenirlos. • Técnicas de mitigación de ataques de DDoS • Ensayos de técnicas de DoS sobre servidores deliberadamente vulnerables. • Ensayos y ejemplos prácticos sobre librerías de cifrado y técnicas de cifrado compuestas Contenido programático (cont):
  • 10. Resumen del documento OWASP Secure Coding Práctices • Input Validation. • Output encoding. • Authentication and Password Management. • Session Control. • Uso de librerías de control y validación de input y output más comunes por plataformas e instalación con ejemplos en vivo y ejercicios. Técnicas de ataque directo al usuario. • Nuevas amenazas y nuevas versiones de amenazas conocidas • Spear Phishing y Whale Phishing. • Tab Nabbing. • Pharming local. • Man in the Browser Attack. • MIM attack (sniffers, keyloggers y otros). • Troyanos Bancarios Especializados. • Phishing Móvil, Vishing.
  • 11. • Phishing Tradicional • Análisis detallados de las técnicas utilizadas por el atacante. • El costo real del Phishing. • Cálculo del costo por hora y acumulativo del Phishing. • Filtros Anti Phishing. • Datos a tomar en cuenta en un ataque de Phishing. • Cómo defenderse de un ataque de Phishing. • Procesos para denunciar el sitio de Phishing. • Montando un phishing en tiempo real (ejercicio) • Phishing Avanzado - Nuevas modalidades y variantes • Spear-Phishing • Vishing - Phishing VoIP • Phishing Móvil! • Ataques simultáneos basados en diferentes servidores de sitios web comprometidos. • Ataques basados en múltiples dominios de recepción. • Social Network Phishing (Ejercicio en tiempo real) Contenido programático (cont):
  • 12. • Tab Nabbing. (ejemplos prácticos) • Pharming: • Tipos de Pharming • Pharming – Proceso de ataque • Clickjacking y técnicas de prevención del mismo. • Sniffing. • Captura de encabezados HTTP (HTTP sniffing). • Keyloggers. (Ejemplos en tiempo real) • MIB (Man in the Browser). Contenido programático (cont):
  • 13. Debilidades de las aplicaciones web que afectan directamente a sus usuarios. • Debilidades que pueden comprometer la verificación de autenticidad del sitio por parte del usuario. • Debilidades que facilitan el phishing u otros problemas de clonación del sitio. • Debilidades que facilitan el escaneo del sitio y la búsqueda de vulnerabilidades. • Debilidades que permiten la captura de datos por parte de BHO’s, keyloggers y troyanos especializados y otros tipos de “malware”. • Debilidades que facilitan métodos de ingreso por fuerza bruta o el uso de herramientas de escaneo. • Debilidades que facilitan ataques de XSS, Clickjacking y otros. • Debilidades referentes al SSL o HTTPS. Contenido programático (cont):
  • 14. Análisis de técnicas de defensa directa y prevención de ataques. • Los Teclados Virtuales. • Autentificación Bidireccional. • Autentificación multi-plataforma. • Handlers de imágenes con control de referencia. • Handlers de scripts. • Web Application Firewalls (WAF). • Honeypots. • Bloqueadores de detectores de vulnerabilidades. • Bloqueadores de escaneo. • Rastreadores de comportamiento del usuario. • Bitácoras de aplicación. • Manejadores de logs. • Técnicas de control de errores avanzadas. • Desarrollo en tiempo real de un bloqueador de “scanners” de vulnerabilidades Contenido programático (cont):
  • 15. Capítulo especial: Seguridad de Aplicaciones móviles • Nuevos entornos, nuevas amenazas. • Introducción rápida al ecosistema de las aplicaciones móviles. • Sistemas operativos, plataformas, entornos de desarrollo y entornos de desarrollo multiplataforma • El don de la ubicuidad como estímulo al incremento de ataques. • Tipos de aplicaciones móviles en relación a su seguridad. • Factores que promueven el aumento de vulnerabilidades en las aplicaciones móviles. • Amenazas a la privacidad del usuario basadas en nuevos tipos de datos “no tradicionales”. • Interrelación de seguridad entre aplicaciones móviles y servicios ubicados en la web. • Vulnerabilidades específicas de los entornos de aplicaciones móviles. • OWASP Mobile Security Project. • Top 10 Mobile Risks, Release Candidate v1.0 • OWASP GoatDroid Contenido programático (cont):
  • 16. Vulnerabilidades de aplicaciones móviles y como remediarlas: • Qué es el OWASP Mobile Security Proyect • Los 10 riesgos más importantes de las aplicaciones móviles
  • 17. Dictado por: Mauro Maulini Rubiera. Experimentado desarrollador y programador especializado en seguridad web con más de 18 años dedicados en el área de lnternet y desarrollos de aplicaciones web y aplicaciones móviles. Con experiencia comprobada en desarrollo de plataformas bancarias en la web para bancos e instituciones en Venezuela. Actualmente presidente de e- Securing C.A., empresa que ofrece soluciones de seguridad web para empresas financieras. Creador de los conocidos estudios: Vulnerabilidades de la Banca en Línea, Capítulos Venezuela, Guatemala y Ecuador. Más información en: http://tecnologiasweb.blogspot.com/p/acerca-de-mi.html Ha dictado este curso para 8 de las 10 entidades bancarias más importantes en Venezuela, también para la Asociación Bancaria de Guatemala y recientemente en Quito y Guayaquil (Ecuador) en asociación con Banred S.A.
  • 18. Información adicional: En el curso se utilizarán ejemplos prácticos en la mayoría de los casos, creados mediante código intencionalmente vulnerable o en aplicaciones deliberadamente vulnerables bajo entornos controlados. Todos los ejemplos de código necesarios se presentan en tres lenguajes de desarrollo, a saber: Java (jsp), C# ASP.NET y PHP. Todos los capítulos cerrarán con ejercicios y tutoriales específicos para los asistentes. Se proveerá un servidor preparado con aplicaciones deliberadamente vulnerables a las que los asistentes intentarán atacar Los ejemplos relativos a aplicaciones móviles serán presentados en Android y/o Windows Phone 7.5 Duración del curso: 20 horas (+/- 2 horas dependiendo de la asistencia).
  • 19. Para más información puede comunicarse con: Mauro Maulini R. http://tecnologíasweb.blogspot.com @backslask on Twitter Porlamar - Isla de Margarita - Venezuela +58 295 4160387 +58 414 0894627 Contáctame por Skype callto:mauro.maulini