Transcript descargarla directamente aquí - E

Las técnicas de la seguridad de aplicaciones
web y móviles ya no son tecnología reservada
para hackers y pen-testers.
Curso de Seguridad para
Aplicaciones Web y Móviles
Objetivo General del Curso:
Mejorar y actualizar la capacitación personal de seguridad de sistemas y
desarrolladores de aplicaciones web y/o móviles en los procesos
concernientes a la defensa tanto preventiva como reactiva de las
aplicaciones web y/o móviles, así como en la defensa de la integridad,
confidencialidad, disponibilidad e irrefutabilidad de los datos y
transacciones por estas procesados.
Objetivos en detalle:
•
Actualizar al participante en la filosofía seguridad necesaria para los
procesos de desarrollo de software, instalación de software de terceros y
mantenimiento de plataformas para ambos casos.
•
Introducir al participante en el conocimiento de la mentalidad,
comportamiento, motivaciones y entorno de los diferentes tipos de
atacante.
•
Mostrar al participante los motivos por los cuales sus aplicaciones web y
móviles son inseguras.
•
Introducir al participante en el conocimiento de las técnicas de intrusión
utilizadas por el atacante mediante ejemplos prácticos y ejercicios de
ataque a servidores intencionalmente vulnerables.
Objetivos en detalle (continuación:
•
Mostrar al asistente los errores de desarrollo, programación, instalación y
mantenimiento más comunes, basados en los estándares OWASP y WASC.
•
Desarrollo de ejemplos prácticos de errores de puesta en marcha de
servidores IIS y Apache mediante ejemplos y ejercicios sobre servidores
intencionalmente vulnerables
•
Mostrar al asistente las técnicas de prevención, control, detección y
corrección de vulnerabilidades de las aplicaciones web y móviles en sus
entornos operativos.
•
Inducir al uso de “scanners” de vulnerabilidades mediante ejemplos y
ejercicios prácticos sobre servidores intencionalmente vulnerables
•
Proveer al asistente de acceso a una serie de recursos y utilidades que le
faciliten el cumplimiento de los objetivos expuestos.
Contenido programático:
Introducción
•
•
•
•
•
•
•
•
Ley de Murphy aplicada a la seguridad de aplicaciones web y móviles
¿Quiénes y porqué atacan a las aplicaciones web y móviles?
¿Qué es en realidad un hacker? Más allá del mito de Hollywood…
Pensar como un hacker…
¿Qué motiva a un hacker?
H4c|<3r j4rg0n (Hacker jargon)
¿Porqué atacan a las aplicaciones web?
¿Porqué atacan a las aplicaciones móviles?
Contenido programático (cont):
Vulnerabilidades de las aplicaciones web y cómo
remediarlas
•
•
•
•
•
Decálogo de seguridad del desarrollo de aplicaciones web
Anatomía de un ataque a una aplicación web
¿Qué es OWASP?
Proyectos OWASP
¿Qué es el OWASP Top Ten 2010?
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Inyección de código o de comandos.
Cross Site Scripting, XSS.
Autentificación de usuarios y manejo de sesión débiles
Objetos referenciados directamente de forma insegura.
Cross Site Request Forgery (CRSF).
Fallas de Configuración de Seguridad.
Almacenamiento criptográfico inseguro
Fallas en restricción de acceso a URLs.
Insuficiente protección en la capa de transporte.
Redirecciones y reenvíos sin debida validación.
Contenido programático (cont):
Vulnerabilidades de las aplicaciones web y cómo
remediarlas
Cada uno de los tipos de vulnerabilidades del top 10 OWASP serán probados por
los asistentes mediante ejercicios de ataque e intrusión a una aplicación web
deliberadamente vulnerable.
Conocimiento de las herramientas de aprendizaje para los diferentes casos y
plataformas de desarrollo:
• OWASP WEBGOAT
• Otras herramientas de intrusión deliberadamente vulnerables
Contenido programático (cont):
•
•
•
•
•
Clasificación de amenazas WASC
Los 25 errores de código más peligrosos – CWE / SANS
Escanners de Vulnerabilidades (Comerciales).
Escanners de Vulnerabilidades (Open Source).
Test de escaneo de vulnerabilidades sobre servidor
intencionalmente vulnerable.
• OWASP Cheat Sheets (Hojas de trucos).
• Application Failure DoS.
• Tipos de Application Failure DoS y razones por las
que son factibles.
• Cómo prevenirlos.
• Técnicas de mitigación de ataques de DDoS
• Ensayos de técnicas de DoS sobre servidores
deliberadamente vulnerables.
• Ensayos y ejemplos prácticos sobre librerías
de cifrado y técnicas de cifrado compuestas
Resumen del documento OWASP
Secure Coding Práctices
•
•
•
•
•
Input Validation.
Output encoding.
Authentication and Password Management.
Session Control.
Uso de librerías de control y validación de input y output más comunes
por plataformas e instalación con ejemplos en vivo y ejercicios.
Técnicas de ataque directo al usuario.
• Nuevas amenazas y nuevas versiones de amenazas conocidas
•
•
•
•
•
•
•
Spear Phishing y Whale Phishing.
Tab Nabbing.
Pharming local.
Man in the Browser Attack.
MIM attack (sniffers, keyloggers y otros).
Troyanos Bancarios Especializados.
Phishing Móvil, Vishing.
Contenido programático (cont):
• Phishing Tradicional
•
•
•
•
•
•
•
•
Análisis detallados de las técnicas utilizadas por el atacante.
El costo real del Phishing.
Cálculo del costo por hora y acumulativo del Phishing.
Filtros Anti Phishing.
Datos a tomar en cuenta en un ataque de Phishing.
Cómo defenderse de un ataque de Phishing.
Procesos para denunciar el sitio de Phishing.
Montando un phishing en tiempo real (ejercicio)
• Phishing Avanzado - Nuevas modalidades y variantes
•
•
•
•
Spear-Phishing
Vishing - Phishing VoIP
Phishing Móvil!
Ataques simultáneos basados en diferentes servidores de sitios web
comprometidos.
• Ataques basados en múltiples dominios de recepción.
• Social Network Phishing (Ejercicio en tiempo real)
Contenido programático (cont):
• Tab Nabbing. (ejemplos prácticos)
• Pharming:
• Tipos de Pharming
• Pharming – Proceso de ataque
•
•
•
•
•
Clickjacking y técnicas de prevención del mismo.
Sniffing.
Captura de encabezados HTTP (HTTP sniffing).
Keyloggers. (Ejemplos en tiempo real)
MIB (Man in the Browser).
Contenido programático (cont):
Debilidades de las aplicaciones web que afectan
directamente a sus usuarios.
• Debilidades que pueden comprometer la verificación de autenticidad del
sitio por parte del usuario.
• Debilidades que facilitan el phishing u otros problemas de clonación del
sitio.
• Debilidades que facilitan el escaneo del sitio y la búsqueda de
vulnerabilidades.
• Debilidades que permiten la captura de datos por parte de BHO’s,
keyloggers y troyanos especializados y otros tipos de “malware”.
• Debilidades que facilitan métodos de ingreso por fuerza bruta o el uso de
herramientas de escaneo.
• Debilidades que facilitan ataques de XSS, Clickjacking y otros.
• Debilidades referentes al SSL o HTTPS.
Contenido programático (cont):
Análisis de técnicas de defensa directa y prevención
de ataques.
•
•
•
•
•
•
•
•
•
•
•
•
•
Los Teclados Virtuales.
Autentificación Bidireccional.
Autentificación multi-plataforma.
Handlers de imágenes con control de referencia.
Handlers de scripts.
Web Application Firewalls (WAF).
Honeypots.
Bloqueadores de detectores de vulnerabilidades.
Bloqueadores de escaneo.
Rastreadores de comportamiento del usuario.
Bitácoras de aplicación.
Manejadores de logs.
Técnicas de control de errores avanzadas.
• Desarrollo en tiempo real de un bloqueador de “scanners” de
vulnerabilidades
Contenido programático (cont):
Capítulo especial: Seguridad de
Aplicaciones móviles
• Nuevos entornos, nuevas amenazas.
• Introducción rápida al ecosistema de las aplicaciones móviles.
• Sistemas operativos, plataformas, entornos de desarrollo y
entornos de desarrollo multiplataforma
• El don de la ubicuidad como estímulo al incremento de ataques.
• Tipos de aplicaciones móviles en relación a su seguridad.
• Factores que promueven el aumento de vulnerabilidades en las
aplicaciones móviles.
• Amenazas a la privacidad del usuario basadas en nuevos tipos de
datos “no tradicionales”.
• Interrelación de seguridad entre aplicaciones móviles y servicios
ubicados en la web.
• Vulnerabilidades específicas de los entornos de aplicaciones
móviles.
• OWASP Mobile Security Project.
• Top 10 Mobile Risks, Release Candidate v1.0
• OWASP GoatDroid
Vulnerabilidades de aplicaciones móviles y como remediarlas:
• Qué es el OWASP Mobile Security Proyect
• Los 10 riesgos más importantes de las aplicaciones móviles
Dictado por:
Mauro Maulini Rubiera.
Experimentado desarrollador y programador especializado en seguridad web
con más de 18 años dedicados en el área de lnternet y desarrollos de
aplicaciones web y aplicaciones móviles.
Con experiencia comprobada en desarrollo de plataformas bancarias en la web
para bancos e instituciones en Venezuela. Actualmente presidente de eSecuring C.A., empresa que ofrece soluciones de seguridad web para empresas
financieras.
Creador de los conocidos estudios:
Vulnerabilidades de la Banca en Línea,
Capítulos Venezuela, Guatemala y Ecuador.
Ha dictado este curso para 8 de las 10 entidades
bancarias más importantes en Venezuela, también
para la Asociación Bancaria de Guatemala y
recientemente en Quito y Guayaquil (Ecuador) en
asociación con Banred S.A.
Más información en:
http://tecnologiasweb.blogspot.com/p/acerca-de-mi.html
Información adicional:
En el curso se utilizarán ejemplos prácticos en la mayoría
de los casos, creados mediante código intencionalmente
vulnerable o en aplicaciones deliberadamente vulnerables
bajo entornos controlados.
Todos los ejemplos de código necesarios se presentan en
tres lenguajes de desarrollo, a saber: Java (jsp), C#
ASP.NET y PHP.
Todos los capítulos cerrarán con ejercicios y tutoriales
específicos para los asistentes.
Se proveerá un servidor preparado con aplicaciones
deliberadamente vulnerables a las que los asistentes
intentarán atacar
Los ejemplos relativos a aplicaciones móviles serán
presentados en Android y/o Windows Phone 7.5
Duración del curso: 20 horas (+/- 2 horas
dependiendo de la asistencia).
Para más información puede comunicarse con:
http://www.e-securing.com
Mauro Maulini R.
http://tecnologíasweb.blogspot.com
@backslask on Twitter
Urb. Villas del Valle, TH-82, El Valle del Espíritu Santo
Porlamar - Isla de Margarita - Venezuela
+58 295 4160387
+58 414 0894627
Contáctame por Skype
callto:mauro.maulini