Seguridad en Aplicaciones Web es una capacitación basada en ... - TIB

SQL Injection. • Login Bypass. • Blind SQL Injection. • Prevención de SQL Injection. • LDAP Injection. • XPath / JSON Injection. A2 - Cross-site Scripting (XSS).
1MB Größe 8 Downloads 79 vistas
Seguridad en Aplicaciones Web es una capacitación basada en OWASP (Open Web Application Security Project) Top 10 y está focalizada en las vulnerabilidades en Aplicaciones Web clasificadas por OWASP como de alto riesgo. Se abordará también la relación entre OWASP Top 10 y el cumplimiento del standard PCI DSS (Payment Card Industry Data Security Standard) para aplicaciones de pago.

· Brindar las herramientas, los recursos y las técnicas necesarias para entender los diferentes tipos de vulnerabilidades existentes en Aplicaciones Web.

· Responsables de Seguridad Informática

El curso tiene una duración de 8hs diarias a dictarse a dos días.

· Desarrolladores de Aplicaciones Web · Gerentes de Sistemas · Oficiales de Seguridad de la Información · Informáticos · Analistas en sistemas · Expertos en Seguridad Informática · Estudiantes avanzados de Ingeniería en Sistemas e informática · Interesados en desarrollar más conocimientos en el área de Seguridad Informática

· Comprender las diferentes vulnerabilidades tanto en el aspecto teórico como práctico, a fin de poder identificarlas y proteger los activos de las amenazas aplicando las contramedidas adecuadas para aumentar la seguridad de las aplicaciones. · Adquirir las herramientas y técnicas utilizadas por profesionales en un entorno controlado con metodología hands-on y demostraciones en vivo.

Durante el mismo se explicará en forma teórica cada una de las vulnerabilidades catalogadas como de alto riesgo por OWASP. Se realizarán prácticas hands-on, demostraciones y se explicarán las contramedidas necesarias para mitigar dichas vulnerabilidades.

OWASP Top 10 • Introducción • Categorización de Riesgos • PCI Security Council & OWASP Conceptos generales para desarrollo seguro de aplicaciones Web • Variables manchadas • Funciones sensibles • Funciones de validación

A1 - Inyección • Intérpretes • OS Commanding • SQL Injection • Login Bypass • Blind SQL Injection • Prevención de SQL Injection • LDAP Injection • XPath / JSON Injection

A2 - Cross-site Scripting (XSS) • Reflexión y persistencia • Técnicas avanzadas

A3 - Pérdida de autenticación y gestión de sesiones • Cookies • Ataques a la sesiones • Pérdida de autenticación (Session Fixation) • Predicción de sesión

A4 - Referencia insegura directa a objetos • Controles de autorización en objetos • Path Traversal • Null byte

A5 - Falsificación de petición en sitios cruzados

A6 - Configuración defectuosa de seguridad • Archivos de Backup • Bases de datos locales • Campos HTML ocultos • Enumeración de directorios • Directory Indexing

A7 - Almacenamiento criptográfico inseguro

A8 - Falla de restricción de acceso a URL

A9 - Protección insuficiente en la capa de transporte • Certificados digitales • Protocolo HTTPS

A10 - Redirecciones y destinos no validados

Se proporcionará a los asistentes el siguiente material:

Conocimientos básicos de desarrollo web.

• Diapositivas en formato impreso y digital.

Es necesario que el alumno concurra con una notebook en la cual pueda ejecutar un entorno virtual.

• CD con las herramientas de seguridad en aplicaciones Web utilizado durante el curso. • OWASP Top 10 Cheat-sheet

Se otorgará un certificado de participación a cada uno de los asistentes.

El curso será dictado por Maximiliano Alonzo, reconocido experto en Seguridad en Aplicaciones Web. Maximiliano Alonzo es especialista en Seguridad Informática con foco en Seguridad en Aplicaciones Web y Sistemas de Gestión de Seguridad de la Información. Con más de 10 años de experiencia ha realizado diversas consultorías para empresas de diferentes países latinoamericanos llevando adelante proyectos de: – hackeos éticos y diagnósticos de seguridad informática, – asesoramiento y apoyo en el cumplimiento de normativas como PCI DSS e ISO 27000, – dictado de capacitaciones sobre Desarrollo Seguro Software y Hackeos éticos. Actualmente es docente de la asignatura Desarrollo Seguro en la Universidad Católica del Uruguay, y del curso de Seguridad en Aplicaciones Web en la UNIT. Ha dictado cursos para la Organización de Estados Americanos sobre Ethical Hacking y Gestión de Incidentes de seguridad informática. Asimismo, fue parte del equipo del Centro de Respuestas a Incidentes de Seguridad Informática del Uruguay CERTuy. Ha sido disertante en diferentes conferencias y congresos relacionados con la Seguridad Informática (CIGRAS, OWASP LatamTour, ISACA OpenDay, InfoSecurity). Actualmente se desarrolla como Consultor en Seguridad Informática y CEO de la empresa TIB. Es miembro de la comisión directiva de ISACA Capítulo Montevideo y ha escrito artículos sobre Seguridad Informática para la revista Percepciones de ISACA. Es miembro del equipo de coordinación de OWASP Capítulo Uruguay y fue parte del equipo de traducción del documento OWASP Top 10.

U$S 300 (trescientos dólares americanos) + IVA

Descuento del 10% por:

Da Vinci Labs Tiburcio Gómez 1330, piso 3 www.davinci.uy/labs

• Inscripción anticipada hasta el 21/4 • Inscripciones de 2 o más asistentes de una misma empresa.

Jueves 4 y viernes 5 de mayo 9:00 a 18:00 hs

Por inscripciones o más información comunicarse al teléfono 098298270 o al mail [email protected]. Cupos limitados.