Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles de e-Securing C.A.

on

  • 2,095 views

Curso especializado de seguridad para aplicaciones web y aplicacione móviles, de e-Securing C.A. Dictado por Mauro Maulini R. - Toda la información que los desarrolladores, programadores y expertos ...

Curso especializado de seguridad para aplicaciones web y aplicacione móviles, de e-Securing C.A. Dictado por Mauro Maulini R. - Toda la información que los desarrolladores, programadores y expertos en seguridad de sistemas informáticos deben conocer para prevenir que sus aplicaciones web o móviles sean vulneradas, y los costos directos u ocultos que de ello deriva.

Statistics

Views

Total Views
2,095
Views on SlideShare
1,346
Embed Views
749

Actions

Likes
2
Downloads
22
Comments
0

5 Embeds 749

http://www.e-securing.com 711
http://e-securing.com 27
http://titania 9
https://www.google.es 1
http://www.google.cl 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles de e-Securing C.A. Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles de e-Securing C.A. Presentation Transcript

  • Las técnicas de la seguridad de aplicacionesweb y móviles ya no son tecnología reservadapara hackers y pen-testers.
  • Curso de Seguridad paraAplicaciones Web y Móviles
  • Mejorar y actualizar la capacitación personal de seguridad de sistemas ydesarrolladores de aplicaciones web y/o móviles en los procesosconcernientes a la defensa tanto preventiva como reactiva de lasaplicaciones web y/o móviles, así como en la defensa de laintegridad, confidencialidad, disponibilidad e irrefutabilidad de los datosy transacciones por estas procesados.Objetivo General del Curso: View slide
  • • Actualizar al participante en la filosofía seguridad necesaria para losprocesos de desarrollo de software, instalación de software de terceros ymantenimiento de plataformas para ambos casos.• Introducir al participante en el conocimiento de lamentalidad, comportamiento, motivaciones y entorno de los diferentestipos de atacante.• Mostrar al participante los motivos por los cuales sus aplicaciones web ymóviles son inseguras.• Introducir al participante en el conocimiento de las técnicas de intrusiónutilizadas por el atacante mediante ejemplos prácticos y ejercicios deataque a servidores intencionalmente vulnerables.Objetivos en detalle: View slide
  • • Mostrar al asistente los errores de desarrollo, programación, instalación ymantenimiento más comunes, basados en los estándares OWASP y WASC.• Desarrollo de ejemplos prácticos de errores de puesta en marcha deservidores IIS y Apache mediante ejemplos y ejercicios sobre servidoresintencionalmente vulnerables• Mostrar al asistente las técnicas de prevención, control, detección ycorrección de vulnerabilidades de las aplicaciones web y móviles en susentornos operativos.• Inducir al uso de “scanners” de vulnerabilidades mediante ejemplos yejercicios prácticos sobre servidores intencionalmente vulnerables• Proveer al asistente de acceso a una serie de recursos y utilidades que lefaciliten el cumplimiento de los objetivos expuestos.Objetivos en detalle (continuación:
  • Contenido programático:Introducción• Ley de Murphy aplicada a la seguridad de aplicaciones web y móviles• ¿Quiénes y porqué atacan a las aplicaciones web y móviles?• ¿Qué es en realidad un hacker? Más allá del mito de Hollywood…• Pensar como un hacker…• ¿Qué motiva a un hacker?• H4c|<3r j4rg0n (Hacker jargon)• ¿Porqué atacan a las aplicaciones web?• ¿Porqué atacan a las aplicaciones móviles?
  • Contenido programático (cont):Vulnerabilidades de las aplicaciones web y cómoremediarlas• Decálogo de seguridad del desarrollo de aplicaciones web• Anatomía de un ataque a una aplicación web• ¿Qué es OWASP?• Proyectos OWASP• ¿Qué es el OWASP Top Ten 2010?1. Inyección de código o de comandos.2. Cross Site Scripting, XSS.3. Autentificación de usuarios y manejo de sesión débiles4. Objetos referenciados directamente de forma insegura.5. Cross Site Request Forgery (CRSF).6. Fallas de Configuración de Seguridad.7. Almacenamiento criptográfico inseguro8. Fallas en restricción de acceso a URLs.9. Insuficiente protección en la capa de transporte.10. Redirecciones y reenvíos sin debida validación.
  • Vulnerabilidades de las aplicaciones web y cómoremediarlasCada uno de los tipos de vulnerabilidades del top 10 OWASP serán probados porlos asistentes mediante ejercicios de ataque e intrusión a una aplicación webdeliberadamente vulnerable.Conocimiento de las herramientas de aprendizaje para los diferentes casos yplataformas de desarrollo:• OWASP WEBGOAT• Otras herramientas de intrusión deliberadamente vulnerablesContenido programático (cont):
  • • Clasificación de amenazas WASC• Los 25 errores de código más peligrosos – CWE / SANS• Escanners de Vulnerabilidades (Comerciales).• Escanners de Vulnerabilidades (Open Source).• Test de escaneo de vulnerabilidades sobre servidorintencionalmente vulnerable.• OWASP Cheat Sheets (Hojas de trucos).• Application Failure DoS.• Tipos de Application Failure DoS y razones por lasque son factibles.• Cómo prevenirlos.• Técnicas de mitigación de ataques de DDoS• Ensayos de técnicas de DoS sobre servidoresdeliberadamente vulnerables.• Ensayos y ejemplos prácticos sobre libreríasde cifrado y técnicas de cifrado compuestasContenido programático (cont):
  • Resumen del documento OWASPSecure Coding Práctices• Input Validation.• Output encoding.• Authentication and Password Management.• Session Control.• Uso de librerías de control y validación de input y output más comunespor plataformas e instalación con ejemplos en vivo y ejercicios.Técnicas de ataque directo al usuario.• Nuevas amenazas y nuevas versiones de amenazas conocidas• Spear Phishing y Whale Phishing.• Tab Nabbing.• Pharming local.• Man in the Browser Attack.• MIM attack (sniffers, keyloggers y otros).• Troyanos Bancarios Especializados.• Phishing Móvil, Vishing.
  • • Phishing Tradicional• Análisis detallados de las técnicas utilizadas por el atacante.• El costo real del Phishing.• Cálculo del costo por hora y acumulativo del Phishing.• Filtros Anti Phishing.• Datos a tomar en cuenta en un ataque de Phishing.• Cómo defenderse de un ataque de Phishing.• Procesos para denunciar el sitio de Phishing.• Montando un phishing en tiempo real (ejercicio)• Phishing Avanzado - Nuevas modalidades y variantes• Spear-Phishing• Vishing - Phishing VoIP• Phishing Móvil!• Ataques simultáneos basados en diferentes servidores de sitios webcomprometidos.• Ataques basados en múltiples dominios de recepción.• Social Network Phishing (Ejercicio en tiempo real)Contenido programático (cont):
  • • Tab Nabbing. (ejemplos prácticos)• Pharming:• Tipos de Pharming• Pharming – Proceso de ataque• Clickjacking y técnicas de prevención del mismo.• Sniffing.• Captura de encabezados HTTP (HTTP sniffing).• Keyloggers. (Ejemplos en tiempo real)• MIB (Man in the Browser).Contenido programático (cont):
  • Debilidades de las aplicaciones web que afectandirectamente a sus usuarios.• Debilidades que pueden comprometer la verificación de autenticidad delsitio por parte del usuario.• Debilidades que facilitan el phishing u otros problemas de clonación delsitio.• Debilidades que facilitan el escaneo del sitio y la búsqueda devulnerabilidades.• Debilidades que permiten la captura de datos por parte de BHO’s,keyloggers y troyanos especializados y otros tipos de “malware”.• Debilidades que facilitan métodos de ingreso por fuerza bruta o el uso deherramientas de escaneo.• Debilidades que facilitan ataques de XSS, Clickjacking y otros.• Debilidades referentes al SSL o HTTPS.Contenido programático (cont):
  • Análisis de técnicas de defensa directa y prevenciónde ataques.• Los Teclados Virtuales.• Autentificación Bidireccional.• Autentificación multi-plataforma.• Handlers de imágenes con control de referencia.• Handlers de scripts.• Web Application Firewalls (WAF).• Honeypots.• Bloqueadores de detectores de vulnerabilidades.• Bloqueadores de escaneo.• Rastreadores de comportamiento del usuario.• Bitácoras de aplicación.• Manejadores de logs.• Técnicas de control de errores avanzadas.• Desarrollo en tiempo real de un bloqueador de “scanners” devulnerabilidadesContenido programático (cont):
  • Capítulo especial: Seguridad deAplicaciones móviles• Nuevos entornos, nuevas amenazas.• Introducción rápida al ecosistema de las aplicaciones móviles.• Sistemas operativos, plataformas, entornos de desarrollo yentornos de desarrollo multiplataforma• El don de la ubicuidad como estímulo al incremento de ataques.• Tipos de aplicaciones móviles en relación a su seguridad.• Factores que promueven el aumento de vulnerabilidades en lasaplicaciones móviles.• Amenazas a la privacidad del usuario basadas en nuevos tipos dedatos “no tradicionales”.• Interrelación de seguridad entre aplicaciones móviles y serviciosubicados en la web.• Vulnerabilidades específicas de los entornos de aplicacionesmóviles.• OWASP Mobile Security Project.• Top 10 Mobile Risks, Release Candidate v1.0• OWASP GoatDroidContenido programático (cont):
  • Vulnerabilidades de aplicaciones móviles y como remediarlas:• Qué es el OWASP Mobile Security Proyect• Los 10 riesgos más importantes de las aplicaciones móviles
  • Dictado por:Mauro Maulini Rubiera.Experimentado desarrollador y programador especializado en seguridad webcon más de 18 años dedicados en el área de lnternet y desarrollos deaplicaciones web y aplicaciones móviles.Con experiencia comprobada en desarrollo de plataformas bancarias en la webpara bancos e instituciones en Venezuela. Actualmente presidente de e-Securing C.A., empresa que ofrece soluciones de seguridad web para empresasfinancieras.Creador de los conocidos estudios:Vulnerabilidades de la Banca en Línea,Capítulos Venezuela, Guatemala y Ecuador.Más información en:http://tecnologiasweb.blogspot.com/p/acerca-de-mi.htmlHa dictado este curso para 8 de las 10 entidadesbancarias más importantes en Venezuela, tambiénpara la Asociación Bancaria de Guatemala yrecientemente en Quito y Guayaquil (Ecuador) enasociación con Banred S.A.
  • Información adicional:En el curso se utilizarán ejemplos prácticos en la mayoríade los casos, creados mediante código intencionalmentevulnerable o en aplicaciones deliberadamente vulnerablesbajo entornos controlados.Todos los ejemplos de código necesarios se presentan entres lenguajes de desarrollo, a saber: Java (jsp), C#ASP.NET y PHP.Todos los capítulos cerrarán con ejercicios y tutorialesespecíficos para los asistentes.Se proveerá un servidor preparado con aplicacionesdeliberadamente vulnerables a las que los asistentesintentarán atacarLos ejemplos relativos a aplicaciones móviles seránpresentados en Android y/o Windows Phone 7.5Duración del curso: 20 horas (+/- 2 horasdependiendo de la asistencia).
  • Para más información puede comunicarse con:http://www.e-securing.comMauro Maulini R.http://tecnologíasweb.blogspot.com@backslask on TwitterUrb. Villas del Valle, TH-82, El Valle del Espíritu SantoPorlamar - Isla de Margarita - Venezuela+58 295 4160387+58 412 3567152Contáctame por Skypecallto:mauro.maulini