Explorar cursos / Programación, Seguridad
Curso Online en vivo

Desarrollo seguro basado en OWASP

Aprende las principales prácticas y conceptos de programación segura.

Insignia digital

Secure Code Developer

Duración

8 sesiones/24 horas

Próxima inscripción

No hay fechas programada

El curso de desarrollo seguro está orientado a cubrir la demanda de profesionales experimentados en el área de seguridad.

Este entrenamiento está enfocado en capacitar al alumno para aprender y desarrollar, las principales prácticas y conceptos de programación segura. Esto implica observar las vulnerabilidades, luego el fragmento de código específico con el objetivo de identificar la falla de seguridad e implementar una solución para las fallas encontradas en los 10 errores de programación más peligrosos de OWASP TOP 10 2021.

El curso introduce a los participantes en el análisis e importancia de la codificación segura cuando se trata de reducir el riesgo conociendo a profundidad vulnerabilidades como XSS, referencia directa de objetos, exposición de datos e inyecciones de SQL. De esta forma el participante puede reconocer las vulnerabilidades, para diseñar productos de software que puedan prevenir este tipo de fallos.

Lo que aprenderás

Entender las amenazas y vulnerabilidades a las que está expuesta cualquier aplicación web.
Reconocer los principales fallos de seguridad en las aplicaciones web.
Realizar análisis DAST (Test de seguridad en modo dinámico) y SAST (Test de seguridad en modo estático) basado en OWASP.
Implementar los controles y contra medidas para prevenir los ataques sobre el ciclo de desarrollo de software.
Aplicar la metodología desarrollada por OWASP para programación segura.

Temario del curso

Módulo 1 – Estado Actual De Las Aplicaciones Web
  • Ciclo de vida de desarrollo de software
  • Tecnologías involucradas en el desarrollo de software.
  • In) Seguridad de aplicaciones web.
  • Mecanismos de defensa.
  • Ambientes de aprendizaje.
Módulo 2 – Diseño Y Selección De Controles
  • Requerimientos de seguridad en aplicaciones web (OWASP ASVS)
  • Requerimientos de seguridad en aplicaciones móviles
  • Requerimientos de seguridad en APIs
  • Frameworks y librerías de desarrollo.
Módulo 3 – Implementación De Controles

A1:2021 Ruptura en el control de acceso. (OWASP TOP 10)

  • Introducción
  • Practicas de archivos IDOR tokens.
  • Practicas IDO urls tokens.
  • Implementación de defensas.
  • Soluciones de laboratorio.

A2:2021 Fallas de Criptografia (OWASP TOP 10)

  • Introducción.
  • Practicas de falla en comentarios.
  • Practicas de páginas ocultas.
  • Practicas de HTML Web Storage.
  • Implementación de defensas.

A3:2021 Inyecciones (OWASP TOP 10)

  • Introducción.
  • Practicas de inyección SQL.
  • Practicas de inyección de comandos.
  • Practicas de inyección JSON.
  • Practicas XSS HTML reflejado.
  • Practicas XSS JS reflejado.
  • Practicas de XSS almacenado.
  • Implementación de defensas.
  • solución de laboratorios.

A4:2021 Diseño Inseguro (OWASP TOP 10)

  • Introducción.
  • Errores de recuperación de contraseñas
  • Modificación de lógica de negocio.
  • Implementación de defensas.
  • Soluciones de laboratorios.

A5:2021 Configuación incorrecta de seguridad (OWASP TOP 10)

  • Introducción.
  • Practicas de XXE
  • Implementación de defensas.
  • Practicas de inyección JSON.
  • Practicas de Dir.
  • Practicas de agente de usuario
  • Implementación de defensas.
  • solución de laboratorios.

A6:2021 Componentes con vulnerabilidades conocidas (OWASP TOP 10)

  • Introducción.
  • Practicas de bibliotecas y demostración de CVSS.
  • Implementación de defensas.

A7:2021 Fallos de identificación y autenticación (OWASP TOP 10)

  • Introducción.
  • Practicas de manipulación de Cookie.
  • Practicas de enumeración de nombre de usuario.
  • Practicas de ataques de fuerza bruta.
  • Implementación de defensas.
  • Solución de laboratorios.

A8:2021 Deserializacion (OWASP TOP 10)

  • Introducción.
  • Practicas de concepto
  • Practicas en fallas de deserializacion.
  • Implementación de defensas.
  • Soluciones de laboratorios.

A9:2021 Insuficiente registro y monitoreo (OWASP TOP 10)

  • Introducción.
  • Practicas de ataques sin monitoreo.
  • Implementación de defensas.
  • Soluciones de laboratorios.

A10:2021 Falsificación de solicitudes del lado del servidor - SSRF (OWASP TOP 10)

  • Introducción.
  • Practicas de ataques SSRF
  • Implementación de defensas.
  • Soluciones de laboratorios.
Módulo 4 – Rectificación Y Monitoreo

Defensas Activas

- Introducción.

- Explicaciones.

Análisis automatizado de vulnerabilidades en código

  • Análisis estático de seguridad básico.
  • Análisis estático de seguridad (SAST) dentro de un flujo de integración continua (CI) con Pipeline en Jenkins.

Requisitos previos

– Conocimiento básico de algún lenguaje de programación (PHP, JAVA, JAVASCRIPT ) y redes.

– Conocimiento de uso con VirtualBox y máquinas virtuales.

– Conocimiento básico de Linux.

– PC/LAPTOP con capacidad para levantar al menos cuatro máquinas virtuales en simultaneo (512MB cada una)

– Se recomienda equipos como mínimo procesador Intel I5 con 8 GB de RAM.

– Software Oracle VirtualBox como plataforma de visualización.

– Sistema operativo Windows 7 o 10 verificar que el Firewall y/o antivirus permitan la libre ejecución de máquinas virtuales y conectividad de red entre ellas en modo puente.

– 50 GB de espacio libre de disco duro para máquinas virtuales.

Nuestros cursos incluyen
¿Quieres capacitar a tu equipo?

Solicita este curso incompany adaptado a tus necesidades

Insignia digital

Este curso otorga la insignia Secure Code Developer que valida tu aprendizaje alcanzado.

Conoce más sobre las Insignias:

Aprende con los mejores especialistas

Nuestros Instructores de TI son altamente dedicados, cuentan con las habilidades técnicas y el conocimiento necesarios para tu aprendizaje.

Juan Oliva
Reconocido especialista en Ciberseguridad, Linux y Voz sobre IP, con más de 15 años de experiencia. Proyectos de Ethical Hacking, análisis y explotación de vulnerabilidades, implementación/integración de plataformas VoIP. Certificaciones vigentes en Ethical hacking, Linux y telefonía IP.

La metodología de TechXpert

Nuestros cursos son en línea, en vivo o bajo demanda.

Las clases son grabadas para verlas luego o las veces que quieras.

Componente sincrónico; otros estudiantes y tutores responden a tus preguntas.

Acceso a la plataforma para disponer de las actualizaciones del curso.

Grupos de consulta permanente, con profesionales de toda América Latina.

Certificación digital verificable que se puedes agregar en tu perfil de Linkedin.

Empieza hoy

Conviértete en un experto
Curso Desarrollo seguro basado en OWASP

US$ 280

US$ 500

Pre-registro

Este curso tiene un cupo mínimo de apertura.
Deja tus datos si estás interesado y podremos trabajar en una fecha pronto.

Impulsa el talento de tu equipo

Llena el siguiente formulario y una persona de TechXpert se contactará contigo para asesorarte.