Temario
La proliferación de modelos de negocio basados en aplicaciones web y el gran número de organizaciones que no incorpora mecanismos de seguridad en las mismas, hace a las aplicaciones un objetivo muy atractivo a los ciberataques. Según diferentes estadísticas, entre el 75% y el 90% de todos los ataques online están dirigidos a aplicaciones web y han explotado vulnerabilidades clasificadas en el Top Ten de la OWASP.
El siguiente programa de capacitación en Técnicas de Seguridad en Desarrollo aportará a los profesionales implicados dentro del ciclo de vida del desarrollo de software, independiente de las tecnologías de programación empleadas (C/C++, Java, PHP, .Net, ASP.Net, Python, etc.), conocer las debilidades y técnicas de desarrollo para crear aplicaciones seguras.
Este es un curso donde la práctica, las pruebas, ejercicios sobre casos reales y la demostración de la teoría tienen un peso clave en la formación.
Tras esta formación los desarrolladores y los diferentes responsables conocerán todo aquello que deben tener en cuenta para desarrollar software seguro y qué puede suceder cuándo esas premisas no se han incluido en el Ciclo de Vida de Desarrollo de Software.
A QUIÉN VA DIRIGIDO
Product managers, project managers, ingenieros de software, arquitectos de software, gestores de desarrollo, desarrolladores (programadores), testers y responsable de calidad de software y auditores y personal de operaciones que deseen certificar sus conocimientos en el campo de la seguridad en el desarrollo de software.
TEMARIO
El curso consta de siete módulos teóricos, detallados a continuación:
Tema 1 - Introducción a la seguridad en el desarrollo de software.
1.1. Casos reales de vulnerabilidades y su impacto.
1.2. Problemática de las aplicaciones inseguras.
1.3. Derribando mitos.
1.4. Participación de Seguridad Informática en el desarrollo del software.
Tema 2 &ndash, Sobre el proyecto OWASP.
2.1. ¿,Qué es OWASP?
2.2. Recursos que ofrece OWASP a la comunidad.
2.3. Vulnerabilidades del Top Ten Owasp.
A1: Injection.
A2: Broken Authentication and Session Management.
A3: Cross-Site Scripting (XSS).
A4: Insecure Direct Object References.
A5: Security Misconfiguration.
A6: Sensitive Data Exposure.
A7: Missing Function Level Access Control.
A8: Cross-Site Request Forgery (CSRF).
A9: Using Known Vulnetable Components.
A10: Unvalidated Redirects and Forwards.
2.4. SANS TOP 25
Tema 3 &ndash, Seguridad en la etapa de análisis.
3.1. Pautas de seguridad en el análisis de requerimientos.
3.2. Desarrollo seguro y compliance:
PCI DSS: Requerimiento 6.3 Develop internal and external software applications. Requerimiento 6.5 Address common coding vulnerabilities in software development processes.
ISO 27002:2013: Requerimiento 14.2 Security in development and support processes. SOX
Tema 4 &ndash, Seguridad en el diseño de software.
4.1. Criterios Básicos de Seguridad:
Principio del menor privilegio.
Criterio de defensa en profundidad.
4.2. Manejo seguro de errores:
Criterio del &ldquo,Fallo Seguro&rdquo,.
Definición de mensajes de error.
Prevención de divulgación de información.
4.3. Manejo de información sensible:
Almacenamiento seguro.
Transferencia segura.
Cifrado y Hashes.
4.4. Auditoría y Logging.
4.5. Diseño de Autenticación y Autorización:
Seguridad en Web Services.
4.6. Diseño de protección contra Denial of Service (D.O.S).
4.7. Errores de Lógica de negocio.
4.8. Marco para el Manejo del Riesgo.
Tema 5 &ndash, Seguridad en la codificación de software.
5.1. Vulnerabilidades más comunes. ¿,Cómo prevenirlas?:
SQL Injection & Command injection.
XSS, CSRF.
5.2. Vulnerabilidades del ranking OWASP Top 10.
5.3. Otras vulnerabilidades:
Errores de Canonicalización.
Information disclosure.
Phishing Vector.
5.4 Recursos de OWASP para seguridad en la codificación.
Tema 6 &ndash, Testing de seguridad de software.
6.1 Técnicas de testing de seguridad:
Testing de seguridad vs testing funcional.
Revisión de código.
6.2 Recursos de OWASP para testing de seguridad:
OWASP Testing Project.
OWASP Code Review Guide.
6.3 Testing de seguridad en el ciclo de vida del software.
6.4 Escalamiento de privilegios.
6.5 Herramientas de testing de seguridad:
Burp, Dirbuster, Nikto, W3af, Nessus.
Tema 7 &ndash, Implementación segura de aplicaciones.
7.1 Diseño de implementación segura.
Separación de Ambientes
7.2 Seguridad en el proceso de implementación.
7.3 Administración de la implementación.