Seguridad de Aplicaciones Web (WEBAP)

Android es una plataforma abierta para dispositivos móviles, como teléfonos inteligentes y tabletas. Cuenta con una amplia variedad de características de seguridad que facilitan el desarrollo de software seguro; sin embargo, también carece de ciertos aspectos de seguridad presentes en otras plataformas móviles. Este curso ofrece una visión integral de estas características e identifica las deficiencias más críticas relacionadas con el sistema operativo Linux subyacente, el sistema de archivos y el entorno en general, así como con el uso de permisos y otros componentes del desarrollo de software para Android.

Se describen las trampas y vulnerabilidades de seguridad típicas tanto para código nativo como para aplicaciones Java, junto con recomendaciones y mejores prácticas para evitarlas y mitigarlas. En muchos casos, los problemas discutidos se apoyan con ejemplos reales y estudios de caso. Finalmente, se ofrece una breve visión general sobre cómo utilizar herramientas de prueba de seguridad para revelar posibles errores de programación relacionados con la seguridad.

Los participantes que asisten a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad informática y programación segura.
• Aprenderán las soluciones de seguridad disponibles en Android.
• Aprenderán a utilizar las diversas características de seguridad de la plataforma Android.
• Obtendrán información sobre algunas vulnerabilidades recientes en Java para Android.
• Conocerán los errores típicos de codificación y cómo evitarlos.
• Comprenderán las vulnerabilidades del código nativo en Android.
• Tomarán conciencia de las graves consecuencias del manejo inseguro de buffers en el código nativo.
• Comprenderán las técnicas de protección arquitectónica y sus debilidades.
• Obtendrán recursos y lecturas adicionales sobre prácticas de programación segura.

Público objetivo

Profesionales

Implementar una aplicación de red segura puede ser un desafío, incluso para los desarrolladores que hayan utilizado previamente diversos componentes criptográficos (como cifrado y firmas digitales). Para que los participantes comprendan el papel y el uso de estos elementos criptográficos, primero se proporciona una base sólida sobre los requisitos principales de la comunicación segura: acuse de recibo seguro, integridad, confidencialidad, identificación remota y anonimato. Además, se presentan los problemas típicos que pueden afectar a estos requisitos junto con soluciones del mundo real.

Dado que la criptografía es un aspecto crítico de la seguridad de las redes, también se discuten los algoritmos criptográficos más importantes en el cifrado simétrico, las funciones hash, el cifrado asimétrico y el acuerdo de claves. En lugar de presentar un fondo matemático profundo, estos elementos se abordan desde la perspectiva de un desarrollador, mostrando ejemplos típicos de casos de uso y consideraciones prácticas relacionadas con el uso de la criptografía, como las infraestructuras de clave pública. Se introducen los protocolos de seguridad en muchas áreas de la comunicación segura, con un análisis en profundidad de las familias de protocolos más utilizadas, como IPSEC y SSL/TLS.

Se analizan las vulnerabilidades criptográficas típicas tanto en relación con ciertos algoritmos criptográficos como con protocolos criptográficos, como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE y otros similares, así como el ataque de tiempo contra RSA. En cada caso, se describen las consideraciones prácticas y las posibles consecuencias de cada problema, nuevamente, sin entrar en detalles matemáticos profundos.

Finalmente, dado que la tecnología XML es central para el intercambio de datos en las aplicaciones de red, se describen los aspectos de seguridad de XML. Esto incluye el uso de XML dentro de servicios web y mensajes SOAP, junto con medidas de protección como la firma XML y el cifrado XML, así como debilidades en estas medidas de protección e issue específicos de seguridad XML como la inyección XML, ataques de entidades externas XML (XXE), bombas XML e inyección XPath.

Los participantes que asistan a este curso comprenderán

• Los conceptos básicos de seguridad, seguridad de la información y codificación segura
• Los requisitos de la comunicación segura
• Los ataques y defensas de red en diferentes capas OSI
• Una comprensión práctica de la criptografía
• Los protocolos de seguridad esenciales
• Algunos ataques recientes contra sistemas criptográficos
• Información sobre algunas vulnerabilidades recientes relacionadas
• Los conceptos de seguridad de los servicios web
• Fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores, profesionales

Este curso de tres días cubre los fundamentos para proteger el código en C/C++ contra usuarios malintencionados que podrían explotar diversas vulnerabilidades relacionadas con la gestión de memoria y el manejo de entradas. El curso abarca los principios básicos para escribir código seguro.

Incluso los programadores de Java con experiencia no siempre dominan todos los servicios de seguridad que ofrece Java, ni están al tanto de las distintas vulnerabilidades relevantes para las aplicaciones web escritas en Java.

El curso, además de presentar los componentes de seguridad de Standard Java Edition, aborda los temas de seguridad de Java Enterprise Edition (JEE) y de los servicios web. Antes de discutir los servicios específicos, se presentan los fundamentos de la criptografía y la comunicación segura. Los distintos ejercicios tratan sobre las técnicas de seguridad declarativa y programática en JEE, mientras que se analizan tanto la seguridad a nivel de la capa de transporte como la seguridad de extremo a extremo en los servicios web. El uso de todos los componentes se presenta mediante varios ejercicios prácticos, donde los participantes pueden probar por sí mismos las API y las herramientas discutidas.

El curso también revisa y explica los fallos de programación más frecuentes y graves del lenguaje y la plataforma Java, así como las vulnerabilidades relacionadas con la web. Además de los errores típicos cometidos por los programadores de Java, las vulnerabilidades de seguridad introducidas cubren tanto problemas específicos del lenguaje como problemas derivados del entorno de ejecución. Todas las vulnerabilidades y los ataques relevantes se demuestran mediante ejercicios fáciles de entender, seguidos de las directrices de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asisten a este curso

• Comprenderán los conceptos básicos de seguridad, la seguridad informática y la codificación segura.
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas.
• Comprenderán los conceptos de seguridad de los servicios web.
• Aprenderán a utilizar diversas funciones de seguridad del entorno de desarrollo de Java.
• Tendrán una comprensión práctica de la criptografía.
• Comprenderán las soluciones de seguridad de Java EE.
• Aprenderán sobre los errores de codificación típicos y cómo evitarlos.
• Obtendrán información sobre algunas vulnerabilidades recientes en el marco de trabajo Java.
• Adquirirán conocimientos prácticos en el uso de herramientas de prueba de seguridad.
• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público objetivo

Desarrolladores

Descripción

El lenguaje Java y el Entorno de Tiempo de Ejecución (JRE) fueron diseñados para estar libres de las vulnerabilidades de seguridad más problemáticas y comunes que se experimentan en otros lenguajes, como C y C++. Sin embargo, los desarrolladores de software y los arquitectos no solo deben saber cómo utilizar las diversas características de seguridad del entorno de Java (seguridad positiva), sino que también deben ser conscientes de las numerosas vulnerabilidades que aún son relevantes para el desarrollo en Java (seguridad negativa).

La introducción de los servicios de seguridad va precedida de un breve resumen de los fundamentos de la criptografía, proporcionando una línea de base común para comprender el propósito y el funcionamiento de los componentes aplicables. El uso de estos componentes se presenta a través de varios ejercicios prácticos, donde los participantes pueden probar por sí mismos las APIs discutidas.

El curso también revisa y explica los fallos de programación más frecuentes y graves del lenguaje Java y su plataforma, abarcando tanto los errores típicos cometidos por los programadores de Java como las problemas específicos del lenguaje y del entorno. Todas las vulnerabilidades y los ataques relevantes se demuestran a través de ejercicios fáciles de entender, seguidos de las directrices de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asisten a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura.
• Aprenderán sobre vulnerabilidades web más allá de las OWASP Top Ten y sabrán cómo evitarlas.
• Aprenderán a utilizar diversas características de seguridad del entorno de desarrollo de Java.
• Tendrán una comprensión práctica de la criptografía.
• Aprenderán sobre errores típicos de codificación y cómo evitarlos.
• Obtendrán información sobre algunas vulnerabilidades recientes en el marco de trabajo Java.
• Recibirán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público Objetivo

Desarrolladores

En la actualidad, existen varios lenguajes de programación que permiten compilar código para los marcos de trabajo .NET y ASP.NET. El entorno ofrece medios poderosos para el desarrollo de seguridad, pero los desarrolladores deben saber cómo aplicar las técnicas de programación a nivel de arquitectura y código para implementar la funcionalidad de seguridad deseada, evitar vulnerabilidades o limitar su explotación.

El objetivo de este curso es enseñar a los desarrolladores, a través de numerosos ejercicios prácticos, cómo prevenir que el código no confiable realice acciones privilegiadas, proteger los recursos mediante una autenticación y autorización robustas, proporcionar llamadas a procedimientos remotos, gestionar sesiones, implementar distintas variantes para cierta funcionalidad, entre muchos otros aspectos.

La introducción a diversas vulnerabilidades comienza presentando algunos problemas de programación típicos que se cometen al utilizar .NET, mientras que la discusión sobre las vulnerabilidades de ASP.NET también aborda diversas configuraciones del entorno y sus efectos. Por último, el tema de las vulnerabilidades específicas de ASP.NET no solo trata algunos desafíos generales de seguridad en aplicaciones web, sino también problemas especiales y métodos de ataque, como los ataques al ViewState o los ataques de terminación de cadenas.

Los participantes que cursen este curso aprenderán a:

• Comprender los conceptos básicos de seguridad, seguridad de la información y codificación segura.
• Conocer vulnerabilidades web más allá del listado OWASP Top Ten y saber cómo evitarlas.
• Aprender a utilizar diversas características de seguridad del entorno de desarrollo .NET.
• Adquirir conocimientos prácticos en el uso de herramientas de prueba de seguridad.
• Conocer errores de codificación típicos y cómo evitarlos.
• Obtener información sobre algunas vulnerabilidades recientes en .NET y ASP.NET.
• Acceder a fuentes y lecturas complementarias sobre prácticas de codificación segura.

Público objetivo

Desarrolladores

Este curso introduce algunos conceptos básicos de seguridad, ofrece una visión general de la naturaleza de las vulnerabilidades independientemente del lenguaje de programación o la plataforma utilizada, y explica cómo gestionar los riesgos relacionados con la seguridad del software en las distintas fases del ciclo de vida del desarrollo de software. Sin entrar en detalles técnicos profundos, se destacan algunas de las vulnerabilidades más relevantes y graves en diversas tecnologías de desarrollo de software, y se presentan los desafíos de la prueba de seguridad, junto con algunas técnicas y herramientas que pueden aplicarse para identificar cualquier problema existente en el código.

Los participantes que cursen este programa

• Comprenderán los conceptos básicos de seguridad, seguridad informática y codificación segura.
• Comprenderán las vulnerabilidades web tanto del lado del servidor como del cliente.
• Tomarán conciencia de las graves consecuencias del manejo inseguro de buffers.
• Se informarán sobre vulnerabilidades recientes en entornos de desarrollo y frameworks.
• Aprenderán sobre errores típicos de codificación y cómo evitarlos.
• Comprenderán los enfoques y metodologías de pruebas de seguridad.

Público objetivo

Gerentes

El curso proporciona las habilidades esenciales para desarrolladores de PHP necesarias para hacer sus aplicaciones resistentes a ataques contemporáneos a través de Internet. Las vulnerabilidades web se discuten a través de ejemplos basados en PHP, yendo más allá del OWASP top ten, abordando varios tipos de ataques de inyección, inyección de scripts, ataques contra el manejo de sesiones en PHP, referencias directas a objetos inseguras, problemas con la carga de archivos, entre muchos otros. Las vulnerabilidades relacionadas con PHP se introducen agrupadas en los tipos estándar de vulnerabilidades: validación faltante o impropia de la entrada, manejo incorrecto de errores y excepciones, uso inadecuado de características de seguridad y problemas relacionados con el tiempo y el estado. Para esto último, discutimos ataques como la evasión de open_basedir, denegación de servicio mediante float mágico o el ataque de colisión de tablas hash. En todos los casos, los participantes se familiarizarán con las técnicas y funciones más importantes a utilizar para mitigar los riesgos enlistados.

Se da un enfoque especial a la seguridad del lado del cliente, abordando problemas de seguridad de JavaScript, Ajax y HTML5. Se presentan varias extensiones relacionadas con la seguridad para PHP como hash, mcrypt y OpenSSL para criptografía, o Ctype, ext/filter y HTML Purifier para validación de entrada. Las mejores prácticas de endurecimiento se dan en relación con la configuración de PHP (ajustar php.ini), Apache y el servidor en general. Finalmente, se ofrece una visión general de varias herramientas y técnicas de prueba de seguridad que desarrolladores y probadores pueden usar, incluyendo escáneres de seguridad, pruebas de penetración y paquetes de explotación, sniffers, servidores proxy, herramientas de fuzzing y analizadores estáticos de código fuente.

Tanto la introducción de vulnerabilidades como las prácticas de configuración se apoyan en una serie de ejercicios prácticos que demuestran las consecuencias de ataques exitosos, mostrando cómo aplicar técnicas de mitigación y presentando el uso de varias extensiones y herramientas.

Los participantes que asisten a este curso

• Entenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas
• Aprenderán sobre vulnerabilidades del lado del cliente y prácticas de codificación segura
• Tendrán una comprensión práctica de la criptografía
• Aprenderán a utilizar varias características de seguridad de PHP
• Aprenderán sobre errores típicos de codificación y cómo evitarlos
• Serán informados sobre vulnerabilidades recientes del marco de trabajo PHP
• Obtendrán conocimientos prácticos sobre el uso de herramientas de prueba de seguridad
• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura

Audiencia objetivo

Desarrolladores

El entrenamiento integral de SDL Core ofrece una visión general sobre el diseño, desarrollo y prueba de software seguro a través del Ciclo de Vida de Desarrollo Seguro (SDL) de Microsoft. Proporciona una introducción básica a los bloques fundamentales de SDL, seguida de técnicas de diseño para aplicar en las etapas tempranas del proceso de desarrollo con el fin de detectar y corregir vulnerabilidades.

En lo que respecta a la fase de desarrollo, el curso presenta una visión general de los errores de programación comunes relevantes para la seguridad, tanto en código administrado como nativo. Se presentan métodos de ataque para las vulnerabilidades discutidas, junto con las técnicas de mitigación asociadas, todo ello explicado a través de una serie de ejercicios prácticos que brindan a los participantes la oportunidad de experimentar la diversión del hacking en tiempo real. Se introducen diferentes métodos de pruebas de seguridad, seguidos de la demostración de la efectividad de varias herramientas de prueba. Los participantes pueden comprender el funcionamiento de estas herramientas mediante una serie de ejercicios prácticos que aplican las herramientas al código vulnerable ya discutido.

Los participantes que asisten a este curso

Comprenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura

Conocerán los pasos esenciales del Ciclo de Vida de Desarrollo Seguro de Microsoft

Aprenderán prácticas de diseño y desarrollo seguros

Se familiarizarán con los principios de implementación segura

Comprenderán la metodología de pruebas de seguridad

• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores, Gerentes

Tras familiarizarse con las vulnerabilidades y los métodos de ataque, los participantes aprenden sobre el enfoque general y la metodología de las pruebas de seguridad, así como las técnicas que pueden aplicarse para revelar vulnerabilidades específicas. Las pruebas de seguridad deben comenzar con la recopilación de información sobre el sistema (ToC, es decir, Objeto de Evaluación), luego un modelado de amenazas exhaustivo debe identificar y clasificar todas las amenazas, llegando al plan de pruebas impulsado por el análisis de riesgos más apropiado.

Las evaluaciones de seguridad pueden ocurrir en varias etapas del ciclo de vida del desarrollo de software (SDLC), por lo que discutimos la revisión del diseño, la revisión del código, el reconocimiento y la recopilación de información sobre el sistema, la prueba de la implementación y la prueba y endurecimiento del entorno para un despliegue seguro. Se presentan en detalle muchas técnicas de pruebas de seguridad, como el análisis de tinte, la revisión del código basada en heurísticas, el análisis estático de código, la prueba dinámica de vulnerabilidades web o el fuzzing. Se introducen varios tipos de herramientas que pueden aplicarse para automatizar la evaluación de seguridad de los productos de software, lo cual también está respaldado por una serie de ejercicios, donde ejecutamos estas herramientas para analizar el código vulnerable ya discutido. Varios estudios de caso reales apoyan una mejor comprensión de diversas vulnerabilidades.

Este curso prepara a los testers y al personal de QA para planificar adecuadamente y ejecutar con precisión pruebas de seguridad, seleccionar y utilizar las herramientas y técnicas más apropiadas para encontrar incluso las falencias de seguridad ocultas, y así brindar habilidades prácticas esenciales que pueden aplicarse el siguiente día laboral.

Los participantes que asisten a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad de la TI y codificación segura
• Aprenderán sobre vulnerabilidades web más allá del Top Ten de OWASP y sabrán cómo evitarlas
• Aprenderán sobre vulnerabilidades del lado del cliente y prácticas de codificación segura
• Comprenderán los enfoques y metodologías de las pruebas de seguridad
• Obtendrán conocimientos prácticos en el uso de técnicas y herramientas de pruebas de seguridad
• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores, Testers

La protección de aplicaciones accesibles a través de la web requiere profesionales de la seguridad bien preparados que estén constantemente al tanto de los métodos y tendencias de ataque actuales. Existe una amplia variedad de tecnologías y entornos que permiten el desarrollo cómodo de aplicaciones web. No basta con estar consciente de los problemas de seguridad relevantes para estas plataformas, sino también de todas las vulnerabilidades generales que aplican independientemente de las herramientas de desarrollo utilizadas.

Este curso ofrece una visión general de las soluciones de seguridad aplicables en aplicaciones web, con un enfoque especial en comprender las soluciones criptográficas más importantes a implementar. Se presentan las diversas vulnerabilidades de las aplicaciones web tanto en el lado del servidor (siguiendo el OWASP Top Ten) como en el lado del cliente, demostradas mediante los ataques correspondientes, seguidas de las técnicas de codificación recomendadas y métodos de mitigación para evitar los problemas asociados. La codificación segura se cierra discutiendo algunos errores de programación típicos relevantes para la seguridad en el ámbito de la validación de entradas, el uso incorrecto de funciones de seguridad y la calidad del código.

Las pruebas desempeñan un papel muy importante en la garantía de la seguridad y robustez de las aplicaciones web. Se pueden aplicar diversos enfoques, desde auditorías de alto nivel hasta pruebas de penetración y hacking ético, para encontrar vulnerabilidades de diferentes tipos. Sin embargo, si deseas ir más allá de las vulnerabilidades fáciles de encontrar, las pruebas de seguridad deben estar bien planificadas y ejecutadas correctamente. Recuerda: idealmente, los probadores de seguridad deben encontrar todos los errores para proteger un sistema, mientras que para los adversarios es suficiente encontrar una vulnerabilidad explotable para penetrarlo.

Los ejercicios prácticos ayudarán a comprender las vulnerabilidades de las aplicaciones web, los errores de programación y, lo más importante, las técnicas de mitigación, junto con ensayos prácticos de diversas herramientas de prueba, desde escáneres de seguridad y sniffers, servidores proxy, herramientas de fuzzing hasta analizadores de código fuente estático. Este curso proporciona las habilidades prácticas esenciales que se pueden aplicar al día siguiente en el lugar de trabajo.

Los participantes que asistan a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura
• Aprenderán las vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas
• Aprenderán las vulnerabilidades del lado del cliente y las prácticas de codificación segura
• Tendrán una comprensión práctica de la criptografía
• Comprenderán los enfoques y metodologías de pruebas de seguridad
• Obtendrán conocimientos prácticos en el uso de técnicas y herramientas de pruebas de seguridad
• Estarán informados sobre vulnerabilidades recientes en diversas plataformas, marcos y bibliotecas
• Recibirán fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores, Probadores

En este curso en vivo dirigido por un instructor en Costa Rica, los participantes aprenderán a formular la estrategia de seguridad adecuada para abordar el desafío de la seguridad en DevOps.

El curso práctico EC-Council Certified DevSecOps Engineer (ECDE) está diseñado para proporcionar a los profesionales las competencias necesarias para integrar la seguridad a lo largo de todo el ciclo de vida de DevOps, permitiendo un desarrollo de software seguro desde la planificación hasta la implementación.

Esta formación en vivo y con instructores (en línea o en las instalaciones) está dirigida a profesionales de software y DevOps de nivel intermedio que deseen incorporar prácticas de seguridad en las tuberías de CI/CD, garantizando la entrega de código seguro y conforme a las normativas.

Al finalizar esta formación, los participantes serán capaces de:

• Comprender los principios y prácticas de DevSecOps.
• Asegurar cada etapa de la tubería CI/CD utilizando herramientas automatizadas.
• Implementar prácticas de codificación segura y escaneo de vulnerabilidades.
• Prepararse para la certificación ECDE mediante laboratorios prácticos y revisiones.

Formato del curso

• Conferencias interactivas y discusión.
• Uso práctico de herramientas DevSecOps en tuberías simuladas.
• Ejercicios guiados centrados en el desarrollo y la implementación seguros.

Opciones de personalización del curso

• Para solicitar una formación personalizada para este curso basada en los flujos de trabajo o la cadena de herramientas de su equipo, por favor contáctenos para coordinar.

Este curso en Costa Rica tiene como objetivo ayudar en lo siguiente:

1. Ayudar a los desarrolladores a dominar las técnicas de escritura de código seguro
2. Ayudar a los testers de software a probar la seguridad de la aplicación antes de publicarla en el entorno de producción
3. Ayudar a los arquitectos de software a comprender los riesgos asociados a las aplicaciones
4. Ayudar a los líderes de equipo a establecer las líneas base de seguridad para los desarrolladores
5. Ayudar a los administradores web a configurar los servidores para evitar configuraciones incorrectas

Este curso abarca los conceptos y principios de codificación segura con Java a través de la metodología de pruebas del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP). El Proyecto de Seguridad de Aplicaciones Web Abiertas es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías de acceso libre en el campo de la seguridad de aplicaciones web.