Desarrollo de Seguridad .NET, C # y ASP.NET

Implementar una aplicación de red segura puede ser un desafío, incluso para desarrolladores que ya hayan utilizado diversos bloques de construcción criptográficos (como cifrado y firmas digitales) con anterioridad. Para ayudar a los participantes a comprender el papel y el uso de estos primitivos criptográficos, primero se establece una base sólida sobre los requisitos principales de la comunicación segura: confirmación segura, integridad, confidencialidad, identificación remota y anonimato, mientras también se presentan los problemas típicos que pueden comprometer estos requisitos junto con soluciones del mundo real.

Dado que la criptografía es un aspecto crítico de la seguridad de las redes, se discuten también los algoritmos criptográficos más importantes en la criptografía simétrica, el hashing, la criptografía asimétrica y el acuerdo de claves. En lugar de presentar un fondo matemático profundo, estos elementos se abordan desde la perspectiva del desarrollador, mostrando ejemplos típicos de casos de uso y consideraciones prácticas relacionadas con el uso de criptografía, como las infraestructuras de clave pública. Se introducen los protocolos de seguridad en varias áreas de la comunicación segura, con un análisis detallado de las familias de protocolos más utilizadas, como IPSEC y SSL/TLS.

Se discuten las vulnerabilidades criptográficas típicas, tanto relacionadas con ciertos algoritmos criptográficos y protocolos criptográficos, como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE y similares, así como el ataque de temporización RSA. En cada caso, se describen las consideraciones prácticas y las consecuencias potenciales para cada problema, nuevamente, sin entrar en detalles matemáticos profundos.

Finalmente, dado que la tecnología XML es central para el intercambio de datos por parte de las aplicaciones de red, se describen los aspectos de seguridad del XML. Esto incluye el uso de XML dentro de servicios web y mensajes SOAP junto con medidas de protección como la firma XML y el cifrado XML – así como las debilidades en esas medidas de protección y problemas de seguridad específicos de XML como la inyección XML, los ataques de entidad externa XML (XXE), las bombas XML y la inyección XPath.

Los participantes que asisten a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad informática y programación segura
• Comprenderán los requisitos de la comunicación segura
• Aprenderán sobre ataques y defensas de red en diferentes capas OSI
• Tendrán una comprensión práctica de la criptografía
• Comprenderán los protocolos de seguridad esenciales
• Comprenderán algunos ataques recientes contra sistemas criptográficos
• Recibirán información sobre algunas vulnerabilidades recientes relacionadas
• Comprenderán los conceptos de seguridad de los servicios web
• Obtendrán fuentes y lecturas complementarias sobre prácticas de programación segura

Audiencia

Desarrolladores, Profesionales

Escribir código seguro en C y C++ requiere una defensa rigurosa contra la explotación maliciosa, la corrupción de memoria y eludir la validación de entradas. Este programa examina patrones de vulnerabilidad que incluyen desbordamientos de búfer, uso después de liberar (use-after-free), desbordamientos enteros y confusión de tipos. Los participantes aplican pautas de codificación segura, herramientas de análisis estático y técnicas de programación defensiva para eliminar debilidades, imponer la sanitización de entradas y ofrecer software endurecido resistente contra ciberataques.

Incluso los programadores experimentados en Java no dominan necesariamente todos los servicios de seguridad que ofrece Java, ni son conscientes de las distintas vulnerabilidades relevantes para las aplicaciones web escritas en Java.

El curso, además de introducir los componentes de seguridad de Standard Java Edition, aborda los problemas de seguridad de Java Enterprise Edition (JEE) y los servicios web. El análisis de servicios específicos se precede con los fundamentos de la criptografía y la comunicación segura. Varios ejercicios tratan sobre técnicas de seguridad declarativa y programática en JEE, mientras que se discute tanto la seguridad a nivel de transporte como de extremo a extremo en los servicios web. El uso de todos los componentes se presenta mediante varios ejercicios prácticos, donde los participantes pueden probar por sí mismos las API y herramientas discutidas.

El curso también recorre y explica las fallas de programación más frecuentes y severas del lenguaje Java y la plataforma, así como las vulnerabilidades relacionadas con la web. Además de los errores típicos cometidos por los programadores de Java, las vulnerabilidades de seguridad presentadas cubren tanto problemas específicos del lenguaje como problemas originados en el entorno de ejecución. Todas las vulnerabilidades y los ataques relevantes se demuestran a través de ejercicios fáciles de entender, seguidos de las directrices de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asisten a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad de TI y programación segura
• Aprenderán sobre vulnerabilidades web más allá del Top Ten de OWASP y sabrán cómo evitarlas
• Comprenderán los conceptos de seguridad de los servicios web
• Aprenderán a utilizar diversas características de seguridad del entorno de desarrollo Java
• Tendrán una comprensión práctica de la criptografía
• Comprenderán las soluciones de seguridad de Java EE
• Aprenderán sobre errores típicos de codificación y cómo evitarlos
• Obtendrán información sobre algunas vulnerabilidades recientes en el marco de trabajo Java
• Adquirirán conocimientos prácticos en el uso de herramientas de pruebas de seguridad
• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura

Audiencia

Desarrolladores

El curso proporciona las habilidades esenciales para desarrolladores de PHP necesarias para hacer sus aplicaciones resistentes a ataques contemporáneos a través de Internet. Se discuten vulnerabilidades web mediante ejemplos basados en PHP, yendo más allá del Top Ten de OWASP, abordando varios tipos de inyecciones, inyecciones de scripts, ataques contra el manejo de sesiones de PHP, referencias directas a objetos inseguras, problemas con la carga de archivos, y muchos otros. Las vulnerabilidades relacionadas con PHP se introducen agrupadas en los tipos estándar de vulnerabilidades: falta o incorrecta validación de entrada, manejo incorrecto de errores y excepciones, uso inadecuado de características de seguridad y problemas relacionados con el tiempo y el estado. Para este último, discutimos ataques como la evasión de open_basedir, denegación de servicio a través del float mágico o el ataque de colisión de tablas hash. En todos los casos, los participantes se familiarizarán con las técnicas y funciones más importantes que deben utilizarse para mitigar los riesgos enumerados.

Se da un enfoque especial a la seguridad del lado del cliente, abordando problemas de seguridad de JavaScript, Ajax y HTML5. Se introducen varias extensiones relacionadas con la seguridad para PHP como hash, mcrypt y OpenSSL para criptografía, o Ctype, ext/filter y HTML Purifier para validación de entrada. Las mejores prácticas de endurecimiento se dan en relación con la configuración de PHP (configurando php.ini), Apache y el servidor en general. Finalmente, se ofrece una visión general de varias herramientas y técnicas de prueba de seguridad que desarrolladores y probadores pueden usar, incluyendo escáneres de seguridad, pruebas de penetración, kits de explotación, sniffers, servidores proxy, herramientas de fuzzing y analizadores estáticos de código fuente.

Tanto la introducción de vulnerabilidades como las prácticas de configuración están apoyadas por una serie de ejercicios prácticos que demuestran las consecuencias de ataques exitosos, muestran cómo aplicar técnicas de mitigación e introducen el uso de varias extensiones y herramientas.

Los participantes que asisten a este curso

• Comprenderán conceptos básicos de seguridad, seguridad informática y programación segura
• Aprenderán vulnerabilidades web más allá del Top Ten de OWASP y sabrán cómo evitarlas
• Aprenderán sobre vulnerabilidades del lado del cliente y prácticas de programación segura
• Tendrán una comprensión práctica de la criptografía
• Aprenderán a usar varias características de seguridad de PHP
• Aprenderán acerca de errores típicos de codificación y cómo evitarlos
• Estarán informados sobre vulnerabilidades recientes del marco de trabajo PHP
• Obtendrán conocimiento práctico en el uso de herramientas de prueba de seguridad
• Recibirán fuentes y lecturas adicionales sobre prácticas de programación segura

Audiencia

Desarrolladores

La formación integrada del núcleo de SDL ofrece una visión general sobre el diseño seguro de software, su desarrollo y pruebas mediante el Ciclo de Vida del Desarrollo Seguro (SDL) de Microsoft. Proporciona una introducción básica a los componentes fundamentales del SDL, seguida de técnicas de diseño aplicables para detectar y corregir errores en las etapas tempranas del proceso de desarrollo.

En lo que respecta a la fase de desarrollo, el curso presenta una visión general de los errores de programación típicos relacionados con la seguridad tanto en código administrado como nativo. Se exponen los métodos de ataque para las vulnerabilidades discutidas junto con las técnicas de mitigación asociadas, todo ello explicado mediante una serie de ejercicios prácticos que ofrecen a los participantes la oportunidad de experimentar el "hacking" en vivo. Tras la introducción a diferentes métodos de pruebas de seguridad, se demuestra la efectividad de diversas herramientas de prueba. Los participantes pueden comprender el funcionamiento de estas herramientas mediante una serie de ejercicios prácticos donde aplican las herramientas al código vulnerable ya discutido.

Los participantes que asisten a este curso

Comprenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura.

Conocerán los pasos esenciales del Ciclo de Vida del Desarrollo Seguro (SDL) de Microsoft.

Aprenderán prácticas de diseño y desarrollo seguros.

Se familiarizarán con los principios de implementación segura.

Comprenderán la metodología de pruebas de seguridad.

• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público objetivo

Desarrolladores, Gerentes

En este curso en vivo y dirigido por un instructor en Bolivia, los participantes aprenderán cómo formular la estrategia de seguridad adecuada para enfrentar el desafío de la seguridad en DevOps.

El Ingeniero Certificado en DevSecOps de EC-Council (ECDE) es un curso práctico diseñado para equipar a los profesionales con las habilidades necesarias para integrar la seguridad durante todo el ciclo de vida de DevOps, permitiendo un desarrollo de software seguro desde la planificación hasta el despliegue.

Esta formación impartida por instructores, en vivo (en línea o presencial), está dirigida a profesionales intermedios de software y DevOps que deseen integrar prácticas de seguridad en las tuberías CI/CD, asegurando la entrega de código segura y conforme.

Al finalizar esta formación, los participantes podrán:

• Comprender los principios y prácticas de DevSecOps.
• Asegurar cada etapa de la tubería CI/CD utilizando herramientas automatizadas.
• Implementar prácticas de codificación segura y escaneo de vulnerabilidades.
• Prepararse para la certificación ECDE con laboratorios prácticos y revisión.

Formato del curso

• Conferencia interactiva y discusión.
• Uso práctico de herramientas de DevSecOps en tuberías simuladas.
• Ejercicios guiados enfocados en el desarrollo y despliegue seguros.

Opciones de personalización del curso

• Para solicitar una formación personalizada para este curso basada en los flujos de trabajo o la cadena de herramientas de su equipo, por favor contáctenos para organizarlo.

Este curso en Bolivia tiene como objetivo ayudar en lo siguiente:

1. Ayudar a los desarrolladores a dominar las técnicas de escritura de código seguro
2. Ayudar a los probadores de software a evaluar la seguridad de la aplicación antes de publicarla en el entorno de producción
3. Ayudar a los arquitectos de software a comprender los riesgos que rodean las aplicaciones
4. Ayudar a los líderes de equipo a establecer las líneas base de seguridad para los desarrolladores
5. Ayudar a los administradores web a configurar los servidores para evitar errores de configuración

Este curso abarca los conceptos y principios de codificación segura con Java a través de la metodología de pruebas del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP). El Open Web Application Security Project es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías disponibles libremente en el campo de la seguridad de aplicaciones web.

Este curso cubre los conceptos y principios de codificación segura con ASP.NET a través de la metodología de pruebas del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP). OWASP es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías disponibles gratuitamente en el campo de la seguridad de aplicaciones web.

Este curso explora las características de seguridad del Framework .NET y cómo asegurar aplicaciones web.