Bonsai Information Security - Education

OWASP TOP 10 Based
Training Course *

El training basado en el OWASP Top 10 está focalizado en las vulnerabilidades Web clasificadas por OWASP como de alto riesgo. Durante este curso de un día se explicará teóricamente cada vulnerabilidad con prácticas hands-on, demostraciones y las contramedidas necesarias para mitigar dichas vulnerabilidades.

Nuestra experiencia en trainings nos ha ayudado a crear el mejor curso basado en OWASP TOP 10, dónde también se mostrará la relación del OWASP Top 10 con el cumplimiento del standard PCI para Aplicaciones de Pago.

El training está desarrollado para que participantes de distintos niveles de conocimiento identifiquen las vulnerabilidades y puedan aplicar las contramedidas necesarias para aumentar la seguridad de las aplicaciones.

El curso OWASP TOP 10 Based Training Course fue especialmente diseñado para satisfacer las necesidades esenciales sobre seguridad de QA testers, desarrolladores de Aplicaciones Web y expertos en Seguridad Informática.


Objetivos

Proveer a los alumnos el conocimiento, las herramientas, los recursos y las técnicas necesarias para entender los diferentes tipos de vulnerabilidades Web del OWASP Top 10.

Comprender las vulnerabilidades en un aspecto teórico-práctico para poder identificarlas y proteger los activos de las amenazas, aplicando las contramedidas.

Conocer las herramientas y técnicas utilizadas por profesionales en un entorno controlado con metodología hands-on y demostraciones en vivo.


Temario

  1. OWASP Top 10
    1. Introducción
    2. Categorización de Riesgos
    3. PCI Security Council & OWASP

  2. Conceptos generales para desarrollo seguro de aplicaciones Web
    1. Variables manchadas
    2. Funciones sensibles
    3. Funciones de validación

  3. A1 - Inyección
    1. Intérpretes
    2. OS Commanding
    3. SQL Injection
    4. Login Bypass
    5. Blind SQL Injection
    6. Prevención de SQL Injection
    7. LDAP Injection
    8. XPath / JSON Injection

  4. A2 - Cross-site Scripting (XSS)
    1. Reflexión y persistencia
    2. Técnicas avanzadas

  5. A3 - Perdida de autenticación y gestión de sesiones
    1. Cookies
    2. Ataques a la sesiones
    3. Pérdida de autenticación (Session Fixation)
    4. Predicción de sesión

  6. A4 - Referencia insegura directa a objetos
    1. Controles de autorización en objetos
    2. Path Traversal
    3. Null byte

  7. A5 - Falsificación de petición en Sitios Cruzados

  8. A6 - Configuración defectuosa de seguridad
    1. Archivos de Backup
    2. Bases de datos locales
    3. Campos HTML ocultos
    4. Enumeración de directorios
    5. Directory Indexing

  9. A7 - Almacenamiento criptográfico inseguro

  10. A8 - Falla de Restricción de Acceso a URL

  11. A9 - Protección Insuficiente en la Capa de Transporte
    1. Certificados digitales
    2. Protocolo HTTPS

  12. A10 - Redirecciones y Destinos No Validados


Entregables

Los entregables del training incluyen:

  1. Carpeta con las diapositivas del training
  2. Live CD con herramientas de seguridad en aplicaciones Web utilizado durante el training
  3. Imagen de VMware con el ambiente de training
  4. Certificado de asistencia
  5. OWASP Top 10 Cheat-sheet

Trainer

The training will be delivered by Andres Riancho an expert in the Web Application Security field and Bonsai Information Security founder.


Información adicional

* OWASP does not provide official trainings, this training is just based on the OWASP Top10 document.

Si tiene otras preguntas, contáctenos.

Capacite a sus desarrolladores con nosotros, y le devolveremos sus fines de semana!

Obtenga una cotización para el mejor training basado en OWASP TOP 10