Programa del Curso

Introducción

  • Descripción general de OWASP, su propósito e importancia en la seguridad web
  • Explicación de la OWASP lista de los 10 mejores
    • A01:2021-Broken Access Control sube desde la quinta posición; El 94% de las aplicaciones se probaron para detectar algún tipo de control de acceso roto. Las 34 enumeraciones de debilidades comunes (CWE) asignadas al control roto Access tuvieron más apariciones en las aplicaciones que en cualquier otra categoría.
    • A02:2021-Cryptographic Failures sube una posición a la #2, anteriormente conocida como Exposición de Datos Confidenciales, que era un síntoma general en lugar de una causa raíz. El enfoque renovado aquí se centra en las fallas relacionadas con la criptografía, que a menudo conducen a la exposición de datos confidenciales o al compromiso del sistema.
    • A03:2021-La inyección se desliza hasta la tercera posición. El 94% de las aplicaciones se probaron para algún tipo de inyección, y los 33 CWE mapeados en esta categoría tienen la segunda mayor cantidad de ocurrencias en aplicaciones. El Cross-site Scripting ahora forma parte de esta categoría en esta edición.
    • A04:2021-Diseño inseguro es una nueva categoría para 2021, con un enfoque en los riesgos relacionados con fallas de diseño. Si realmente queremos "movernos a la izquierda" como industria, se requiere un mayor uso del modelado de amenazas, patrones y principios de diseño seguros y arquitecturas de referencia.
    • A05:2021-Security Misconfiguration sube desde el #6 de la edición anterior; El 90% de las aplicaciones se probaron para detectar algún tipo de error de configuración. Con más cambios en software altamente configurable, no es sorprendente ver que esta categoría asciende. La antigua categoría para XML Entidades Externas (XXE) ahora forma parte de esta categoría.
    • A06:2021-Vulnerable and Obdated Components se tituló anteriormente Using Components with Known Vulnerabilities y es el #2 en la encuesta de la comunidad Top 10, pero también tenía suficientes datos para llegar al Top 10 a través del análisis de datos. Esta categoría sube desde el #9 en 2017 y es un problema conocido que nos cuesta probar y evaluar el riesgo. Es la única categoría que no tiene ninguna vulnerabilidad y exposición común (CVE) asignada a los CWE incluidos, por lo que se tienen en cuenta en sus puntuaciones un exploit y un peso de impacto predeterminados de 5,0.
    • A07:2021-Identification and Authentication Failures era anteriormente Broken Authentication y se está deslizando hacia abajo desde la segunda posición, y ahora incluye CWE que están más relacionados con fallas de identificación. Esta categoría sigue siendo una parte integral del Top 10, pero la mayor disponibilidad de marcos estandarizados parece estar ayudando.
    • A08:2021-Fallos de integridad de software y datos es una nueva categoría para 2021, que se centra en hacer suposiciones relacionadas con actualizaciones de software, datos críticos y canalizaciones de CI/CD sin verificar la integridad. Uno de los impactos más ponderados de los datos de Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) asignados a las 10 CWE de esta categoría. La deserialización insegura de 2017 ahora forma parte de esta categoría más grande.
    • A09:2021-Security Logging and Monitoring Failures era anteriormente Insuficiente Logging & Monitoring y se agrega de la encuesta de la industria (#3), subiendo desde el #10 anteriormente. Esta categoría se amplía para incluir más tipos de errores, es difícil de probar y no está bien representada en los datos de CVE/CVSS. Sin embargo, los fallos de esta categoría pueden afectar directamente a la visibilidad, las alertas de incidentes y el análisis forense.
    • A10:2021-Server-Side Request Forgery se agrega de la encuesta de la comunidad Top 10 (#1). Los datos muestran una tasa de incidencia relativamente baja con una cobertura de pruebas superior a la media, junto con puntuaciones superiores a la media para el potencial de explotación e impacto. Esta categoría representa el escenario en el que los miembros de la comunidad de seguridad nos dicen que esto es importante, aunque no se ilustre en los datos en este momento.

Control roto Access

  • Ejemplos prácticos de controles de acceso rotos
  • Controles de acceso seguros y mejores prácticas

Errores criptográficos

  • Análisis detallado de fallos criptográficos, como algoritmos de cifrado débiles o una gestión de claves inadecuada
  • Importancia de mecanismos criptográficos sólidos, protocolos seguros (SSL/TLS) y ejemplos de criptografía moderna en la seguridad web

Ataques de inyección

  • Desglose detallado de la inyección SQL, NoSQL, OS y LDAP
  • Técnicas de mitigación que utilizan instrucciones preparadas, consultas con parámetros y entradas de escape

Diseño inseguro

  • Explorar fallas de diseño que pueden conducir a vulnerabilidades, como una validación de entrada incorrecta
  • Estrategias para la arquitectura segura y los principios de diseño seguro

Configuración incorrecta de seguridad

  • Ejemplos reales de configuraciones incorrectas
  • Pasos para evitar errores de configuración, incluidas las herramientas de automatización y administración de configuración

Componentes vulnerables y obsoletos

  • Identificación de los riesgos del uso de bibliotecas y marcos vulnerables
  • Procedimientos recomendados para la administración de dependencias y las actualizaciones

Errores de identificación y autenticación

  • Problemas comunes de autenticación
  • Estrategias de autenticación seguras, como la autenticación multifactor y el manejo adecuado de sesiones

Errores de integridad de datos y software

  • Concéntrese en problemas como las actualizaciones de software no confiables y la manipulación de datos
  • Mecanismos de actualización seguros y comprobaciones de integridad de datos

Errores de registro y supervisión de seguridad

  • Importancia del registro de información relevante para la seguridad y la supervisión de actividades sospechosas
  • Herramientas y prácticas para un registro adecuado y un seguimiento en tiempo real para detectar infracciones de forma temprana

Falsificación de solicitudes del lado del servidor (SSRF)

  • Explicación de cómo los atacantes explotan las vulnerabilidades de la SSRF para acceder a los sistemas internos
  • Tácticas de mitigación, incluida la validación de entrada adecuada y las configuraciones de firewall

Mejores prácticas y codificación segura

  • Debate exhaustivo sobre las mejores prácticas para la codificación segura
  • Herramientas para la detección de vulnerabilidades

Resumen y próximos pasos

Requerimientos

  • Una comprensión general del ciclo de vida del desarrollo web
  • Experiencia en desarrollo y seguridad de aplicaciones web

Audiencia

  • Desarrolladores web
  • Dirigentes
 14 Horas

Número de participantes


Precio por Participante​

Testimonios (7)

Próximos cursos

Categorías Relacionadas