Gracias por enviar su consulta! Uno de los miembros de nuestro equipo se pondrá en contacto con usted en breve.
Gracias por enviar su reserva! Uno de los miembros de nuestro equipo se pondrá en contacto con usted en breve.
Programa del Curso
Introducción
- Visión general de OWASP, su propósito y importancia en la seguridad web
- Explicación de la lista OWASP Top 10
- A01:2021-Control de Acceso Roto sube del quinto lugar; el 94% de las aplicaciones fueron probadas por algún tipo de control de acceso roto. Las 34 Enumeraciones Comunes de Debilidades (CWE) mapeadas a Control de Acceso Roto tuvieron más incidencias en las aplicaciones que cualquier otra categoría.
- A02:2021-Fallas Criptográficas sube una posición al segundo lugar, anteriormente conocido como Exposición de Datos Sensibles, que era un síntoma amplio más que una causa raíz. El nuevo enfoque aquí se centra en las fallas relacionadas con la criptografía, lo cual a menudo lleva a la exposición de datos sensibles o al compromiso del sistema.
- A03:2021-Inyección desciende al tercer lugar. El 94% de las aplicaciones fueron probadas por algún tipo de inyección, y las 33 CWE mapeadas en esta categoría tienen la segunda mayor incidencia en las aplicaciones. Cross-site Scripting ahora es parte de esta categoría en esta edición.
- A04:2021-Diseño Inseguro es una nueva categoría para 2021, con un enfoque en riesgos relacionados con fallas de diseño. Si realmente queremos "moverse a la izquierda" como industria, se requiere un mayor uso de modelado de amenazas, patrones y principios de diseño seguro, y arquitecturas de referencia.
- A05:2021-Mala Configuración de Seguridad sube del sexto lugar en la edición anterior; el 90% de las aplicaciones fueron probadas por alguna forma de mala configuración. Con más cambios hacia software altamente configurable, no es sorprendente ver que esta categoría suba. La categoría anterior para Entidades Externas XML (XXE) ahora es parte de esta categoría.
- A06:2021-Componentes Vulnerables y Desactualizados fue anteriormente titulado Uso de Componentes con Vulnerabilidades Conocidas y es #2 en la encuesta comunitaria Top 10, pero también tuvo suficientes datos para entrar en el Top 10 a través del análisis de datos. Esta categoría sube del puesto #9 en 2017 y es un problema conocido que luchamos por probar y evaluar riesgos. Es la única categoría que no tiene ninguna Vulnerabilidad Común y Exposición (CVE) mapeada a las CWE incluidas, por lo que se factorean explotaciones e impactos de peso predeterminado de 5.0 en sus puntuaciones.
- A07:2021-Fallas en Identificación y Autenticación fue anteriormente Control de Autenticación Roto y baja del segundo lugar, y ahora incluye CWE más relacionadas con fallas de identificación. Esta categoría sigue siendo una parte integral del Top 10, pero la disponibilidad creciente de marcos estandarizados parece estar ayudando.
- A08:2021-Fallas en Integridad de Software y Datos es una nueva categoría para 2021, con un enfoque en suposiciones relacionadas con actualizaciones de software, datos críticos y pipelines CI/CD sin verificar la integridad. Uno de los impactos más pesados de los datos de Vulnerabilidad Común y Exposición/Sistema de Puntuación de Vulnerabilidad Común (CVE/CVSS) mapeados a las 10 CWE en esta categoría. La Desserialización Insegura de 2017 ahora es parte de esta categoría mayor.
- A09:2021-Fallas en Registro y Monitoreo de Seguridad fue anteriormente Registro e Insuficiente Monitoreo y se agrega desde la encuesta de la industria (#3), subiendo del puesto #10 anterior. Esta categoría se expande para incluir más tipos de fallas, es desafiante de probar y no está bien representada en los datos CVE/CVSS. Sin embargo, las fallas en esta categoría pueden impactar directamente la visibilidad, el alertamiento de incidentes y la forense.
- A10:2021-Forgery de Solicitudes del Lado del Servidor (SSRF) se agrega desde la encuesta comunitaria Top 10 (#1). Los datos muestran una tasa de incidencia relativamente baja con una cobertura de pruebas por encima del promedio, junto con calificaciones por encima del promedio para el potencial de Explotación e Impacto. Esta categoría representa el escenario en el que los miembros de la comunidad de seguridad nos dicen que esto es importante, aunque no se ilustra en los datos en este momento.
Control de Acceso Roto
- Ejemplos prácticos de controles de acceso rotos
- Controles de acceso seguros y mejores prácticas
Fallas Criptográficas
- Análisis detallado de fallas criptográficas como algoritmos de cifrado débiles o gestión inadecuada de claves
- Importancia de los mecanismos criptográficos fuertes, protocolos seguros (SSL/TLS) y ejemplos de criptografía moderna en la seguridad web
Ataques de Inyección
- Desglose detallado de inyecciones SQL, NoSQL, OS y LDAP
- Técnicas de mitigación utilizando declaraciones preparadas, consultas parametrizadas y escapar entradas
Diseño Inseguro
- Exploración de fallas de diseño que pueden llevar a vulnerabilidades, como la validación inadecuada de entrada
- Estrategias para una arquitectura y principios de diseño seguros
Mala Configuración de Seguridad
- Ejemplos del mundo real de malas configuraciones
- Pasos para prevenir la mala configuración, incluyendo gestión de configuración y herramientas de automatización
Componentes Vulnerables y Desactualizados
- Identificación de riesgos al usar bibliotecas y marcos vulnerables
- Mejores prácticas para la gestión de dependencias y actualizaciones
Fallas en Identificación y Autenticación
- Problemas comunes de autenticación
- Estrategias de autenticación seguras, como la autenticación multifactorial y el manejo adecuado de sesiones
Fallas en Integridad de Software y Datos
- Enfoque en problemas como actualizaciones de software no confiables y manipulación de datos
- Mecanismos seguros de actualización y verificaciones de integridad de datos
Fallas en Registro y Monitoreo de Seguridad
- Importancia del registro de información relevante para la seguridad y el monitoreo de actividades sospechosas
- Herramientas y prácticas para un registro adecuado y monitoreo en tiempo real para detectar brechas temprano
Forgery de Solicitudes del Lado del Servidor (SSRF)
- Explicación de cómo los atacantes explotan vulnerabilidades SSRF para acceder a sistemas internos
- Tácticas de mitigación, incluyendo validación adecuada de entrada y configuraciones de firewall
Mejores Prácticas y Codificación Segura
- Discusión exhaustiva sobre mejores prácticas para la codificación segura
- Herramientas para la detección de vulnerabilidades
Resumen y Pasos Siguientes
Requerimientos
- Una comprensión general del ciclo de vida del desarrollo web
- Experiencia en el desarrollo y seguridad de aplicaciones web
Audiencia
- Desarrolladores web
- Líderes
14 Horas
Testimonios (7)
Los componentes interactivos y ejemplos.
Raphael - Global Knowledge
Curso - OWASP Top 10
Traducción Automática
Enfoque práctico y conocimientos del entrenador
RICARDO
Curso - OWASP Top 10
Traducción Automática
El conocimiento del entrenador fue fenomenal
Patrick - Luminus
Curso - OWASP Top 10
Traducción Automática
ejercicios, aunque estén fuera de mi zona de confort.
Nathalie - Luminus
Curso - OWASP Top 10
Traducción Automática
El entrenador es muy informativo y realmente conoce el tema
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Curso - OWASP Top 10
Traducción Automática
El Trainor es realmente un experto en el tema.
Reynold - SGL Manila (Shared Service Center) Inc.
Curso - OWASP Top 10
Traducción Automática
Laboratorio práctico sobre cómo obtener un proyectil de una máquina atacada
Catalin
Curso - OWASP Top 10
Traducción Automática
