SlideShare a Scribd company logo

Resumen curso de seguridad para desarrolladores de aplicaciones web, webservices y web APIs

Download as ODP, PDF
M
mauromaulinir

Contenido programático del cursos de Seguridad en el Desarrollo de Aplicaciones Web, Web services y Web APIs.

Education
1 of 19
Hecho: Las técnicas de infiltración en la seguridad de aplicaciones web, servicios web y web APIs ya no son tecnología reservada para hackers y pen-testers.
Curso de Seguridad para Aplicaciones Web, Web Services y Web APIs
Mejorar y actualizar la capacitación personal de seguridad de sistemas y desarrolladores de aplicaciones web, web APIs y/o servicios web en los procesos concernientes a la defensa tanto preventiva como reactiva de las aplicaciones web y/o móviles, así como en la defensa de la integridad, confidencialidad, disponibilidad e irrefutabilidad de los datos y transacciones por estas procesados. Objetivo General del Curso:
• Actualizar al participante en la filosofía seguridad necesaria para los procesos de desarrollo de software, instalación de software de terceros y mantenimiento de plataformas para ambos casos. • Introducir al participante en el conocimiento de la mentalidad, comportamiento, motivaciones y entorno de los diferentes tipos de atacante. • Mostrar al participante los motivos por los cuales sus aplicaciones web, web APIs y web services son inseguros. • Introducir al participante en el conocimiento de las técnicas de intrusión utilizadas por el atacante mediante ejemplos prácticos y ejercicios de ataque a servidores intencionalmente vulnerables. Objetivos en detalle:
• Mostrar al asistente los errores de desarrollo, programación, instalación y mantenimiento más comunes, basados en los estándares OWASP y WASC. • Desarrollo de ejemplos prácticos de errores de puesta en marcha de servidores IIS y Apache mediante ejemplos y ejercicios sobre servidores intencionalmente vulnerables • Mostrar al asistente las técnicas de prevención, control, detección y corrección de vulnerabilidades de las aplicaciones web y móviles en sus entornos operativos. • Inducir al uso de “scanners” de vulnerabilidades mediante ejemplos y ejercicios prácticos sobre servidores intencionalmente vulnerables • Proveer al asistente de acceso a una serie de recursos y utilidades que le faciliten el cumplimiento de los objetivos expuestos. Objetivos en detalle (continuación:
Contenido programático: Introducción • Ley de Murphy aplicada a la seguridad de aplicaciones web y web services. • ¿Quiénes y porqué atacan a las aplicaciones web y web services? • ¿Qué es en realidad un hacker? Más allá del mito de Hollywood… • Pensar como un hacker es la mitad del trabajo… • ¿Qué motiva a un hacker? • H4c|<3r j4rg0n (Hacker jargon) • ¿Porqué y quienes atacan a las aplicaciones web? • ¿Porqué y quienes atacan a los servicios web?
Contenido programático (cont): Vulnerabilidades de las aplicaciones web y cómo remediarlas • Decálogo de seguridad del desarrollo de aplicaciones web • Anatomía de un ataque a una aplicación web • ¿Qué es OWASP? • Proyectos OWASP • ¿Qué es el OWASP Top Ten 2013? 1. Inyección de código o de comandos. 2. Autentificación de usuarios y manejo de sesión débiles 3. Cross Site Scripting, XSS. 4. Objetos referenciados directamente de forma insegura. 5. Fallas de Configuración de Seguridad. 6. Exposición de datos sensibles. 7. Errores en funciones de control de nivel de acceso. 8. Crosss Site Request Forgery. 9. Uso de componentes con vulnerabilidades conocidas. 10. Redirecciones y reenvíos sin debida validación.
Vulnerabilidades de las aplicaciones web y cómo remediarlas Cada uno de los tipos de vulnerabilidades del top 10 OWASP serán probados por los asistentes mediante ejercicios de ataque e intrusión a una aplicación web deliberadamente vulnerable. Conocimiento de las herramientas de aprendizaje para los diferentes casos y plataformas de desarrollo: •OWASP WEBGOAT •DVWA (Damn Vulnerable Web Application) •Otras herramientas de intrusión deliberadamente vulnerables •Componentes de verificación de tráfico HTTP. Contenido programático (cont):
• Clasificación de amenazas WASC • Los 25 errores de código más peligrosos – CWE / SANS • Escanners de Vulnerabilidades (Comerciales). • Escanners de Vulnerabilidades (Open Source). • Test de escaneo de vulnerabilidades sobre servidor intencionalmente vulnerable. • OWASP Cheat Sheets (Hojas de trucos). • Application Failure DoS. • Tipos de Application Failure DoS y razones por las que son factibles. • Cómo prevenirlos. • Técnicas de mitigación de ataques de DDoS • Ensayos de técnicas de DoS sobre servidores deliberadamente vulnerables. • Ensayos y ejemplos prácticos sobre librerías de cifrado y técnicas de cifrado compuestas Contenido programático (cont):
Resumen del documento OWASP Secure Coding Práctices • Input Validation. • Output encoding. • Authentication and Password Management. • Oauth y otros servicios de validación. • Session Control. • Uso de librerías de control y validación de input y output más comunes por plataformas e instalación con ejemplos en vivo y ejercicios. Técnicas de ataque directo al usuario. • Nuevas amenazas y nuevas versiones de amenazas conocidas • Spear Phishing y Whale Phishing. • Tab Nabbing. • Pharming local. • Man in the Browser Attack. • MIM attack (sniffers, keyloggers y otros). • Troyanos Bancarios Especializados. • Phishing Móvil, Vishing.
• Phishing Tradicional • Análisis detallados de las técnicas utilizadas por el atacante. • El costo real del Phishing. • Cálculo del costo por hora y acumulativo del Phishing. • Filtros Anti Phishing. • Datos a tomar en cuenta en un ataque de Phishing. • Cómo defenderse de un ataque de Phishing. • Procesos para denunciar el sitio de Phishing. • Montando un phishing en tiempo real (ejercicio) • Phishing Avanzado - Nuevas modalidades y variantes • Spear-Phishing • Vishing - Phishing VoIP • Phishing Móvil! • Ataques simultáneos basados en diferentes servidores de sitios web comprometidos. • Ataques basados en múltiples dominios de recepción. • Social Network Phishing Contenido programático (cont):
• Tab Nabbing. (ejemplos prácticos) • Pharming: • Tipos de Pharming • Pharming – Proceso de ataque • Clickjacking y técnicas de prevención del mismo. • Sniffing. • Captura de encabezados HTTP (HTTP sniffing). • Keyloggers. (Ejemplos en tiempo real) • MIB (Man in the Browser). Contenido programático (cont):
Debilidades de las aplicaciones web que afectan directamente a sus usuarios. • Debilidades que pueden comprometer la verificación de autenticidad del sitio por parte del usuario. • Debilidades que facilitan el phishing u otros problemas de clonación del sitio. • Debilidades que facilitan el escaneo del sitio y la búsqueda de vulnerabilidades. • Debilidades que permiten la captura de datos por parte de BHO’s, keyloggers y troyanos especializados y otros tipos de “malware”. • Debilidades que facilitan métodos de ingreso por fuerza bruta o el uso de herramientas de escaneo. • Debilidades que facilitan ataques de XSS, Clickjacking y otros. • Debilidades referentes al SSL o HTTPS. Contenido programático (cont):
Análisis de técnicas de defensa directa y prevención de ataques. • Los Teclados Virtuales. • Autentificación Bidireccional. • Autentificación multi-plataforma. • Handlers de imágenes con control de referencia. • Handlers de scripts. • Web Application Firewalls (WAF). • Honeypots. • Bloqueadores de detectores de vulnerabilidades. • Bloqueadores de escaneo. • Rastreadores de comportamiento del usuario. • Bitácoras de aplicación. • Manejadores de logs. • Técnicas de control de errores avanzadas. • ¿Qué es OAuth y cómo funciona? • Desarrollo en tiempo real de un bloqueador de “scanners” de vulnerabilidades Contenido programático (cont):
Seguridad de Servicios Web y web APIs • Nuevos entornos, nuevas amenazas. • Introducción rápida al ecosistema de los servicios web. • Protocolos comunes, SOAP, XML • Quiénes y cómo acceden a los servicios web • ¿Qué es un web API? • Tipos de servicios web en relación a su seguridad. Diferencias entre SOAP y REST. • Factores que promueven el aumento de vulnerabilidades en las servicios web y web APIs. • Interrelación de seguridad entre servicios web y aplicaciones móviles. • Errores de configuración comunes en los servicios web. • Vulnerabilidades específicas de los entornos de Servicios Web • OWASP Web Services Security Project. • OWASP Web Service Security Cheat Sheet • REST Security Cheat Sheet Contenido programático (cont):
Módulo adicional de iniciación a la criptografía digital. Contenido programático (cont): Este módulo ha sido agregado recientemente debido a la necesidad existente de las aplicaciones web y servicios web en utilizar técnicas de cifrado que correspondan eficientemente a las necesidades actuales de protección, autentificación, comprobación y no repudio de los datos manejados por nuestras aplicaciones. • ¿Qué es la Criptología? • Diferencias entre Criptografía y Criptoanálisis • ¿Cifrar, codificar o encriptar? • Historia de la criptografía clásica • ¿Dónde inicia la criptografía moderna? • Tipos de criptografía actuales • Métodos de hashing • Recursividad, salting y otras técnicas de protección del hash • Criptografía simétrica • Criptografía asimétrica • Métodos de criptografía mixta y comparación.
Dictado por: Mauro Maulini Rubiera. Experimentado desarrollador y programador Senior especializado en seguridad web con más de 22 años dedicados en el área de Internet y desarrollos de aplicaciones web y aplicaciones móviles. Gerente de desarrollo, con experiencia comprobada en desarrollo de plataformas bancarias en la web y móviles para bancos e instituciones. Actualmente presidente de Sharpmind Software, empresa que ofrece soluciones de seguridad web para empresas financieras. Creador de los conocidos estudios: Vulnerabilidades de la Banca en Línea, Capítulos Venezuela, Guatemala y Ecuador. Más información en: http://tecnologiasweb.blogspot.com/p/acerca-de-mi.html Ha dictado este curso para 8 de las 10 entidades bancarias más importantes en Venezuela, también para la Asociación Bancaria de Guatemala y en varias ocasiones en Quito y Guayaquil (Ecuador) en asociación con Banred S.A.
Información adicional: En el curso se utilizarán ejemplos prácticos en la mayoría de los casos, creados mediante código intencionalmente vulnerable o en aplicaciones deliberadamente vulnerables bajo entornos controlados. Todos los ejemplos de código necesarios se presentan en tres lenguajes de desarrollo, a saber: Java (jsp), C# ASP.NET y PHP. Todos los capítulos cerrarán con ejercicios y tutoriales específicos para los asistentes. Se proveerá un servidor preparado con aplicaciones deliberadamente vulnerables a las que los asistentes intentarán atacar Los ejemplos relativos a servicios web y web APIs se basarán en protocolos SOAP y REST Duración del curso: 16 a 18 horas académicas
Para más información puede comunicarse con: Mauro Maulini R. http://www.sharpmindsoftware.com @MauroMauliniR on Twitter Porlamar - Isla de Margarita - Venezuela +58 295 4160387 +58 412 3575679 +58 412 3567152 Contáctame por Skype callto:mauro.maulini

Recommended

Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...amaulini
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Curso Virtual de Hacking Ético 2019
Curso Virtual de Hacking Ético 2019Curso Virtual de Hacking Ético 2019
Curso Virtual de Hacking Ético 2019Alonso Caballero
 
Curso de Hacking Aplicaciones Web 2020
Curso de Hacking Aplicaciones Web 2020Curso de Hacking Aplicaciones Web 2020
Curso de Hacking Aplicaciones Web 2020Alonso Caballero
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)NPROS Perú
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 

Recommended

Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...amaulini
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Curso Virtual de Hacking Ético 2019
Curso Virtual de Hacking Ético 2019Curso Virtual de Hacking Ético 2019
Curso Virtual de Hacking Ético 2019Alonso Caballero
 
Curso de Hacking Aplicaciones Web 2020
Curso de Hacking Aplicaciones Web 2020Curso de Hacking Aplicaciones Web 2020
Curso de Hacking Aplicaciones Web 2020Alonso Caballero
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)NPROS Perú
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9Universidad Kino A.C.
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaceliaflores
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Pc zombie
Pc zombiePc zombie
Pc zombienflores34
 
Dns malware iicybersecurity
Dns malware iicybersecurityDns malware iicybersecurity
Dns malware iicybersecurityDavid Thomas
 
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...kougar80
 
Cúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webCúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webLucas Pascual Orozco Alemán
 
Presentacion
PresentacionPresentacion
Presentacionv3l3r0f0nt3
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios Rafael Seg
 
Exposicion univ simon_bolivar
Exposicion univ simon_bolivarExposicion univ simon_bolivar
Exposicion univ simon_bolivarGrupo Educativo Cepea
 
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoICEMD
 
Phishing
PhishingPhishing
PhishingMesias Guevara Deza
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015n3xasec
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015Rafael Seg
 
G-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficaG-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficamauromaulinir
 
Plan pour la paix: Pour un renouveau des relations internationales
Plan pour la paix: Pour un renouveau des relations internationalesPlan pour la paix: Pour un renouveau des relations internationales
Plan pour la paix: Pour un renouveau des relations internationalesFlorian Brunner
 

More Related Content

What's hot

Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaceliaflores
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Dns malware iicybersecurity
Dns malware iicybersecurityDns malware iicybersecurity
Dns malware iicybersecurityDavid Thomas
 
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...kougar80
 
Cúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webCúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webLucas Pascual Orozco Alemán
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios Rafael Seg
 
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoICEMD
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015n3xasec
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015Rafael Seg
 

What's hot (20)

Seguridad Web
Seguridad WebSeguridad Web
Seguridad Web
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones Web
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
 
Pc zombie
Pc zombiePc zombie
Pc zombie
 
Dns malware iicybersecurity
Dns malware iicybersecurityDns malware iicybersecurity
Dns malware iicybersecurity
 
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
 
Cúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones webCúales son los riesgos y ataques de seguridad en aplicaciones web
Cúales son los riesgos y ataques de seguridad en aplicaciones web
 
Presentacion
PresentacionPresentacion
Presentacion
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios
 
Exposicion univ simon_bolivar
Exposicion univ simon_bolivarExposicion univ simon_bolivar
Exposicion univ simon_bolivar
 
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
 
Phishing
PhishingPhishing
Phishing
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
 

Viewers also liked

G-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficaG-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficamauromaulinir
 
Plan pour la paix: Pour un renouveau des relations internationales
Plan pour la paix: Pour un renouveau des relations internationalesPlan pour la paix: Pour un renouveau des relations internationales
Plan pour la paix: Pour un renouveau des relations internationalesFlorian Brunner
 
Lazette Harnish: America's Most-Visited Tourist Places
Lazette Harnish: America's Most-Visited Tourist PlacesLazette Harnish: America's Most-Visited Tourist Places
Lazette Harnish: America's Most-Visited Tourist PlacesLazette Harnish
 
Oportunidades y desafíos del Acuerdo Comercial del Perú con la India
Oportunidades y desafíos del Acuerdo Comercial del Perú con la India Oportunidades y desafíos del Acuerdo Comercial del Perú con la India
Oportunidades y desafíos del Acuerdo Comercial del Perú con la India Carlos Alberto Aquino Rodriguez
 
Plumber colorado springs co open rooter
Plumber colorado springs co open rooterPlumber colorado springs co open rooter
Plumber colorado springs co open rooterplumber80903
 
Ringmakers of-saturn---norman-r.-bergrun
Ringmakers of-saturn---norman-r.-bergrunRingmakers of-saturn---norman-r.-bergrun
Ringmakers of-saturn---norman-r.-bergrunLex Pit
 
How to Develop a Social Media Presence in 30 Days or Less
How to Develop a Social Media Presence in 30 Days or LessHow to Develop a Social Media Presence in 30 Days or Less
How to Develop a Social Media Presence in 30 Days or LessGeorge Sloane
 
Moodle is dead... Iain Bruce, James Blair, Michael O'Loughlin
Moodle is dead... Iain Bruce, James Blair, Michael O'LoughlinMoodle is dead... Iain Bruce, James Blair, Michael O'Loughlin
Moodle is dead... Iain Bruce, James Blair, Michael O'LoughlinIreland & UK Moodlemoot 2012
 
Sintesis informativa 22 de marzo 2017
Sintesis informativa 22 de marzo 2017Sintesis informativa 22 de marzo 2017
Sintesis informativa 22 de marzo 2017megaradioexpress
 
Encuentro jubilados y pensionados, marzo 2017
Encuentro jubilados y pensionados, marzo 2017Encuentro jubilados y pensionados, marzo 2017
Encuentro jubilados y pensionados, marzo 2017LUIS EDUARDO DIAZ
 
MIGRASI INTELEKTUAL (Interview dr Taruna Ikrar KOMPAS, Rabu 2 Juli 2014
MIGRASI INTELEKTUAL (Interview dr Taruna Ikrar KOMPAS, Rabu 2 Juli 2014MIGRASI INTELEKTUAL (Interview dr Taruna Ikrar KOMPAS, Rabu 2 Juli 2014
MIGRASI INTELEKTUAL (Interview dr Taruna Ikrar KOMPAS, Rabu 2 Juli 2014Taruna Ikrar
 
Rural Supermarkets by Abhishek Bhatia
Rural Supermarkets by Abhishek BhatiaRural Supermarkets by Abhishek Bhatia
Rural Supermarkets by Abhishek BhatiaAbhishek Bhatia
 
Global impact of_wwii
Global impact of_wwiiGlobal impact of_wwii
Global impact of_wwiiMatt Scully
 

Viewers also liked (17)

G-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficaG-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráfica
 
Plan pour la paix: Pour un renouveau des relations internationales
Plan pour la paix: Pour un renouveau des relations internationalesPlan pour la paix: Pour un renouveau des relations internationales
Plan pour la paix: Pour un renouveau des relations internationales
 
MagenTys Service Overview
MagenTys Service OverviewMagenTys Service Overview
MagenTys Service Overview
 
Lazette Harnish: America's Most-Visited Tourist Places
Lazette Harnish: America's Most-Visited Tourist PlacesLazette Harnish: America's Most-Visited Tourist Places
Lazette Harnish: America's Most-Visited Tourist Places
 
Oportunidades y desafíos del Acuerdo Comercial del Perú con la India
Oportunidades y desafíos del Acuerdo Comercial del Perú con la India Oportunidades y desafíos del Acuerdo Comercial del Perú con la India
Oportunidades y desafíos del Acuerdo Comercial del Perú con la India
 
Goyescas
GoyescasGoyescas
Goyescas
 
Plumber colorado springs co open rooter
Plumber colorado springs co open rooterPlumber colorado springs co open rooter
Plumber colorado springs co open rooter
 
Ringmakers of-saturn---norman-r.-bergrun
Ringmakers of-saturn---norman-r.-bergrunRingmakers of-saturn---norman-r.-bergrun
Ringmakers of-saturn---norman-r.-bergrun
 
How to Develop a Social Media Presence in 30 Days or Less
How to Develop a Social Media Presence in 30 Days or LessHow to Develop a Social Media Presence in 30 Days or Less
How to Develop a Social Media Presence in 30 Days or Less
 
Moodle is dead... Iain Bruce, James Blair, Michael O'Loughlin
Moodle is dead... Iain Bruce, James Blair, Michael O'LoughlinMoodle is dead... Iain Bruce, James Blair, Michael O'Loughlin
Moodle is dead... Iain Bruce, James Blair, Michael O'Loughlin
 
Sintesis informativa 22 de marzo 2017
Sintesis informativa 22 de marzo 2017Sintesis informativa 22 de marzo 2017
Sintesis informativa 22 de marzo 2017
 
Religion and Enviroment
Religion and EnviromentReligion and Enviroment
Religion and Enviroment
 
Encuentro jubilados y pensionados, marzo 2017
Encuentro jubilados y pensionados, marzo 2017Encuentro jubilados y pensionados, marzo 2017
Encuentro jubilados y pensionados, marzo 2017
 
MIGRASI INTELEKTUAL (Interview dr Taruna Ikrar KOMPAS, Rabu 2 Juli 2014
MIGRASI INTELEKTUAL (Interview dr Taruna Ikrar KOMPAS, Rabu 2 Juli 2014MIGRASI INTELEKTUAL (Interview dr Taruna Ikrar KOMPAS, Rabu 2 Juli 2014
MIGRASI INTELEKTUAL (Interview dr Taruna Ikrar KOMPAS, Rabu 2 Juli 2014
 
Rural Supermarkets by Abhishek Bhatia
Rural Supermarkets by Abhishek BhatiaRural Supermarkets by Abhishek Bhatia
Rural Supermarkets by Abhishek Bhatia
 
Csodálatunk tárgyai
Csodálatunk tárgyaiCsodálatunk tárgyai
Csodálatunk tárgyai
 
Global impact of_wwii
Global impact of_wwiiGlobal impact of_wwii
Global impact of_wwii
 

Similar to Resumen curso de seguridad para desarrolladores de aplicaciones web, webservices y web APIs

Curso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalCurso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalICEMD
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Curso de Hacking Aplicaciones Web 2013
Curso de Hacking Aplicaciones Web 2013Curso de Hacking Aplicaciones Web 2013
Curso de Hacking Aplicaciones Web 2013NPROS Perú
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de PentestRafael Seg
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...eccutpl
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
Curso de Hacking Ético 2013
Curso de Hacking Ético 2013Curso de Hacking Ético 2013
Curso de Hacking Ético 2013NPROS Perú
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Alonso Caballero
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Curso de Hacking Ético 2012 (CNHE)
Curso de Hacking Ético 2012 (CNHE)Curso de Hacking Ético 2012 (CNHE)
Curso de Hacking Ético 2012 (CNHE)NPROS Perú
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 

Similar to Resumen curso de seguridad para desarrolladores de aplicaciones web, webservices y web APIs (20)

Curso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalCurso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético Digital
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Curso de Hacking Aplicaciones Web 2013
Curso de Hacking Aplicaciones Web 2013Curso de Hacking Aplicaciones Web 2013
Curso de Hacking Aplicaciones Web 2013
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de Pentest
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Curso de Hacking Ético 2013
Curso de Hacking Ético 2013Curso de Hacking Ético 2013
Curso de Hacking Ético 2013
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEF
 
Curso de Hacking Ético 2012 (CNHE)
Curso de Hacking Ético 2012 (CNHE)Curso de Hacking Ético 2012 (CNHE)
Curso de Hacking Ético 2012 (CNHE)
 
Seguridad clase-2
Seguridad clase-2Seguridad clase-2
Seguridad clase-2
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 

Recently uploaded

MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxjosetrinidadchavez
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxzulyvero07
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxFelicitasAsuncionDia
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Carlos Muñoz
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfFrancisco158360
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscaeliseo91
 
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSTEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSjlorentemartos
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 

Recently uploaded (20)

MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
 
Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fisca
 
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSTEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
 
Medición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptxMedición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptx
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdfTema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
 

Resumen curso de seguridad para desarrolladores de aplicaciones web, webservices y web APIs

  • 1. Hecho: Las técnicas de infiltración en la seguridad de aplicaciones web, servicios web y web APIs ya no son tecnología reservada para hackers y pen-testers.
  • 2. Curso de Seguridad para Aplicaciones Web, Web Services y Web APIs
  • 3. Mejorar y actualizar la capacitación personal de seguridad de sistemas y desarrolladores de aplicaciones web, web APIs y/o servicios web en los procesos concernientes a la defensa tanto preventiva como reactiva de las aplicaciones web y/o móviles, así como en la defensa de la integridad, confidencialidad, disponibilidad e irrefutabilidad de los datos y transacciones por estas procesados. Objetivo General del Curso:
  • 4. • Actualizar al participante en la filosofía seguridad necesaria para los procesos de desarrollo de software, instalación de software de terceros y mantenimiento de plataformas para ambos casos. • Introducir al participante en el conocimiento de la mentalidad, comportamiento, motivaciones y entorno de los diferentes tipos de atacante. • Mostrar al participante los motivos por los cuales sus aplicaciones web, web APIs y web services son inseguros. • Introducir al participante en el conocimiento de las técnicas de intrusión utilizadas por el atacante mediante ejemplos prácticos y ejercicios de ataque a servidores intencionalmente vulnerables. Objetivos en detalle:
  • 5. • Mostrar al asistente los errores de desarrollo, programación, instalación y mantenimiento más comunes, basados en los estándares OWASP y WASC. • Desarrollo de ejemplos prácticos de errores de puesta en marcha de servidores IIS y Apache mediante ejemplos y ejercicios sobre servidores intencionalmente vulnerables • Mostrar al asistente las técnicas de prevención, control, detección y corrección de vulnerabilidades de las aplicaciones web y móviles en sus entornos operativos. • Inducir al uso de “scanners” de vulnerabilidades mediante ejemplos y ejercicios prácticos sobre servidores intencionalmente vulnerables • Proveer al asistente de acceso a una serie de recursos y utilidades que le faciliten el cumplimiento de los objetivos expuestos. Objetivos en detalle (continuación:
  • 6. Contenido programático: Introducción • Ley de Murphy aplicada a la seguridad de aplicaciones web y web services. • ¿Quiénes y porqué atacan a las aplicaciones web y web services? • ¿Qué es en realidad un hacker? Más allá del mito de Hollywood… • Pensar como un hacker es la mitad del trabajo… • ¿Qué motiva a un hacker? • H4c|<3r j4rg0n (Hacker jargon) • ¿Porqué y quienes atacan a las aplicaciones web? • ¿Porqué y quienes atacan a los servicios web?
  • 7. Contenido programático (cont): Vulnerabilidades de las aplicaciones web y cómo remediarlas • Decálogo de seguridad del desarrollo de aplicaciones web • Anatomía de un ataque a una aplicación web • ¿Qué es OWASP? • Proyectos OWASP • ¿Qué es el OWASP Top Ten 2013? 1. Inyección de código o de comandos. 2. Autentificación de usuarios y manejo de sesión débiles 3. Cross Site Scripting, XSS. 4. Objetos referenciados directamente de forma insegura. 5. Fallas de Configuración de Seguridad. 6. Exposición de datos sensibles. 7. Errores en funciones de control de nivel de acceso. 8. Crosss Site Request Forgery. 9. Uso de componentes con vulnerabilidades conocidas. 10. Redirecciones y reenvíos sin debida validación.
  • 8. Vulnerabilidades de las aplicaciones web y cómo remediarlas Cada uno de los tipos de vulnerabilidades del top 10 OWASP serán probados por los asistentes mediante ejercicios de ataque e intrusión a una aplicación web deliberadamente vulnerable. Conocimiento de las herramientas de aprendizaje para los diferentes casos y plataformas de desarrollo: •OWASP WEBGOAT •DVWA (Damn Vulnerable Web Application) •Otras herramientas de intrusión deliberadamente vulnerables •Componentes de verificación de tráfico HTTP. Contenido programático (cont):
  • 9. • Clasificación de amenazas WASC • Los 25 errores de código más peligrosos – CWE / SANS • Escanners de Vulnerabilidades (Comerciales). • Escanners de Vulnerabilidades (Open Source). • Test de escaneo de vulnerabilidades sobre servidor intencionalmente vulnerable. • OWASP Cheat Sheets (Hojas de trucos). • Application Failure DoS. • Tipos de Application Failure DoS y razones por las que son factibles. • Cómo prevenirlos. • Técnicas de mitigación de ataques de DDoS • Ensayos de técnicas de DoS sobre servidores deliberadamente vulnerables. • Ensayos y ejemplos prácticos sobre librerías de cifrado y técnicas de cifrado compuestas Contenido programático (cont):
  • 10. Resumen del documento OWASP Secure Coding Práctices • Input Validation. • Output encoding. • Authentication and Password Management. • Oauth y otros servicios de validación. • Session Control. • Uso de librerías de control y validación de input y output más comunes por plataformas e instalación con ejemplos en vivo y ejercicios. Técnicas de ataque directo al usuario. • Nuevas amenazas y nuevas versiones de amenazas conocidas • Spear Phishing y Whale Phishing. • Tab Nabbing. • Pharming local. • Man in the Browser Attack. • MIM attack (sniffers, keyloggers y otros). • Troyanos Bancarios Especializados. • Phishing Móvil, Vishing.
  • 11. • Phishing Tradicional • Análisis detallados de las técnicas utilizadas por el atacante. • El costo real del Phishing. • Cálculo del costo por hora y acumulativo del Phishing. • Filtros Anti Phishing. • Datos a tomar en cuenta en un ataque de Phishing. • Cómo defenderse de un ataque de Phishing. • Procesos para denunciar el sitio de Phishing. • Montando un phishing en tiempo real (ejercicio) • Phishing Avanzado - Nuevas modalidades y variantes • Spear-Phishing • Vishing - Phishing VoIP • Phishing Móvil! • Ataques simultáneos basados en diferentes servidores de sitios web comprometidos. • Ataques basados en múltiples dominios de recepción. • Social Network Phishing Contenido programático (cont):
  • 12. • Tab Nabbing. (ejemplos prácticos) • Pharming: • Tipos de Pharming • Pharming – Proceso de ataque • Clickjacking y técnicas de prevención del mismo. • Sniffing. • Captura de encabezados HTTP (HTTP sniffing). • Keyloggers. (Ejemplos en tiempo real) • MIB (Man in the Browser). Contenido programático (cont):
  • 13. Debilidades de las aplicaciones web que afectan directamente a sus usuarios. • Debilidades que pueden comprometer la verificación de autenticidad del sitio por parte del usuario. • Debilidades que facilitan el phishing u otros problemas de clonación del sitio. • Debilidades que facilitan el escaneo del sitio y la búsqueda de vulnerabilidades. • Debilidades que permiten la captura de datos por parte de BHO’s, keyloggers y troyanos especializados y otros tipos de “malware”. • Debilidades que facilitan métodos de ingreso por fuerza bruta o el uso de herramientas de escaneo. • Debilidades que facilitan ataques de XSS, Clickjacking y otros. • Debilidades referentes al SSL o HTTPS. Contenido programático (cont):
  • 14. Análisis de técnicas de defensa directa y prevención de ataques. • Los Teclados Virtuales. • Autentificación Bidireccional. • Autentificación multi-plataforma. • Handlers de imágenes con control de referencia. • Handlers de scripts. • Web Application Firewalls (WAF). • Honeypots. • Bloqueadores de detectores de vulnerabilidades. • Bloqueadores de escaneo. • Rastreadores de comportamiento del usuario. • Bitácoras de aplicación. • Manejadores de logs. • Técnicas de control de errores avanzadas. • ¿Qué es OAuth y cómo funciona? • Desarrollo en tiempo real de un bloqueador de “scanners” de vulnerabilidades Contenido programático (cont):
  • 15. Seguridad de Servicios Web y web APIs • Nuevos entornos, nuevas amenazas. • Introducción rápida al ecosistema de los servicios web. • Protocolos comunes, SOAP, XML • Quiénes y cómo acceden a los servicios web • ¿Qué es un web API? • Tipos de servicios web en relación a su seguridad. Diferencias entre SOAP y REST. • Factores que promueven el aumento de vulnerabilidades en las servicios web y web APIs. • Interrelación de seguridad entre servicios web y aplicaciones móviles. • Errores de configuración comunes en los servicios web. • Vulnerabilidades específicas de los entornos de Servicios Web • OWASP Web Services Security Project. • OWASP Web Service Security Cheat Sheet • REST Security Cheat Sheet Contenido programático (cont):
  • 16. Módulo adicional de iniciación a la criptografía digital. Contenido programático (cont): Este módulo ha sido agregado recientemente debido a la necesidad existente de las aplicaciones web y servicios web en utilizar técnicas de cifrado que correspondan eficientemente a las necesidades actuales de protección, autentificación, comprobación y no repudio de los datos manejados por nuestras aplicaciones. • ¿Qué es la Criptología? • Diferencias entre Criptografía y Criptoanálisis • ¿Cifrar, codificar o encriptar? • Historia de la criptografía clásica • ¿Dónde inicia la criptografía moderna? • Tipos de criptografía actuales • Métodos de hashing • Recursividad, salting y otras técnicas de protección del hash • Criptografía simétrica • Criptografía asimétrica • Métodos de criptografía mixta y comparación.
  • 17. Dictado por: Mauro Maulini Rubiera. Experimentado desarrollador y programador Senior especializado en seguridad web con más de 22 años dedicados en el área de Internet y desarrollos de aplicaciones web y aplicaciones móviles. Gerente de desarrollo, con experiencia comprobada en desarrollo de plataformas bancarias en la web y móviles para bancos e instituciones. Actualmente presidente de Sharpmind Software, empresa que ofrece soluciones de seguridad web para empresas financieras. Creador de los conocidos estudios: Vulnerabilidades de la Banca en Línea, Capítulos Venezuela, Guatemala y Ecuador. Más información en: http://tecnologiasweb.blogspot.com/p/acerca-de-mi.html Ha dictado este curso para 8 de las 10 entidades bancarias más importantes en Venezuela, también para la Asociación Bancaria de Guatemala y en varias ocasiones en Quito y Guayaquil (Ecuador) en asociación con Banred S.A.
  • 18. Información adicional: En el curso se utilizarán ejemplos prácticos en la mayoría de los casos, creados mediante código intencionalmente vulnerable o en aplicaciones deliberadamente vulnerables bajo entornos controlados. Todos los ejemplos de código necesarios se presentan en tres lenguajes de desarrollo, a saber: Java (jsp), C# ASP.NET y PHP. Todos los capítulos cerrarán con ejercicios y tutoriales específicos para los asistentes. Se proveerá un servidor preparado con aplicaciones deliberadamente vulnerables a las que los asistentes intentarán atacar Los ejemplos relativos a servicios web y web APIs se basarán en protocolos SOAP y REST Duración del curso: 16 a 18 horas académicas
  • 19. Para más información puede comunicarse con: Mauro Maulini R. http://www.sharpmindsoftware.com @MauroMauliniR on Twitter Porlamar - Isla de Margarita - Venezuela +58 295 4160387 +58 412 3575679 +58 412 3567152 Contáctame por Skype callto:mauro.maulini