Seguridad Aplicaciones Web: Técnicas Defensivas y Ofensivas

Objetivos

Objetivos de la formación seguridad aplicaciones web

Al finalizar esta formación, será capaz de:

• Integrar la seguridad desde el inicio del ciclo de desarrollo (DevSecOps)
• Analizar ataques para identificar los vectores y los métodos utilizados
• Identificar las principales amenazas y vulnerabilidades a las que están expuestas las aplicaciones web
• Describir las diferentes técnicas de ataque utilizadas por los atacantes
• Aplicar prácticas de desarrollo seguro para prevenir vulnerabilidades comunes
• Utilizar frameworks y bibliotecas de seguridad para reforzar la protección de las aplicaciones
• Implementar mecanismos de autenticación y gestión de sesiones seguras
• Implementar controles de acceso para proteger datos sensibles
• Realizar auditorías de seguridad periódicas para identificar vulnerabilidades
• Realizar pruebas para confirmar vulnerabilidades
• Garantizar el cumplimiento de normativas y estándares de seguridad (como RGPD, OWASP Level 2, PCI-DSS…)
• Fomentar la colaboración entre equipos de desarrollo y seguridad
• Promover una cultura de seguridad en la organización

Duración

Programa

Programa de la formación seguridad aplicaciones web

Día 1 – Mañana

Introducción a la ciberseguridad

• Desafíos de un sistema de información
• Panorama de los riesgos actuales
• Perfiles de los atacantes y sus objetivos
• Métodos y herramientas de los atacantes
• Vectores de ataque de un sistema de información
• Principales familias de ataques
• Fases de un ataque (Cyber Kill Chain)

Gestión y control de riesgos

• Sensibilización sobre la importancia de la seguridad
• Organismos (ANSSI, SGDSN, CERT, OWASP…)
• Marco legal y jurídico (Artículo 323, Ley Godfrain, RGPD…)
• Referenciales y normas (ISO 270xx, IEC 62443, OWASP, PCI-DSS…)
• Estándares (MITRE, NVD, CVE, CVSS, CWE, IOC, OTX…)
• Threat Modeling y framework ATT&CK
• Seguridad en aplicaciones web

Ejemplos de ejercicios prácticos

• Modelado de riesgos de seguridad

Día 1 – Tarde

Introducción a DevSecOps

• Papel de la seguridad en el ciclo de desarrollo
• Metodología DevSecOps
• Principios de seguridad
• Herramientas (Jenkins, GitLab CI/CD, SonarQube…)
• Frameworks seguros (Spring Security, Express.js con Helmet…)
• Integración SAST y DAST

Revisión de tecnologías web

• HTTP
• Headers
• Códigos de estado
• Métodos

Ejercicios prácticos

• Análisis de peticiones GET y POST

Tecnologías de seguridad

• Autenticación (LM, Kerberos, LDAP, MFA…)
• SSO, OAuth, OpenID
• Hash y cifrado (MD5, AES, RSA, SSL, TLS…)
• Certificados digitales
• Modelos de autorización (ACL, RBAC…)

Ejercicios prácticos

• Configuración de entorno web

Día 2 – Mañana

Vulnerabilidades en el desarrollo

• OWASP Top 10, SANS Top 25
• Broken Access Control
• Cryptographic Failures
• Injection
• Insecure Design

Día 2 – Tarde

Explotación de vulnerabilidades

• Security Misconfiguration
• Vulnerable and Outdated Components
• Authentication Failures
• SSRF
• Injection
• Insecure Design

Día 3 – Mañana

Herramientas de ataque

• Burp Suite, Netsparker, Acunetix
• Sqlmap, Havij
• Wfuzz, Skipfish
• Hydra, Medusa
• Postman
• XSS y ataques DoS

Ejercicios prácticos

• Uso de herramientas

Día 3 – Tarde

Ataques avanzados

• LFI y RFI
• Wrappers
• Shellcode RCE

Ejercicio práctico

• Explotación RCE

Día 4 – Mañana

Seguridad en el desarrollo

• OWASP
• Buenas prácticas

Día 4 – Tarde

• Validación de datos
• Tokens anti-CSRF
• Seguridad de sesiones
• CSP, SOP, CORS, HSTS
• Seguridad de APIs
• Ofuscación

Ejercicios prácticos

• Seguridad de scripts

Automatización

• Tests automatizados
• Integración DevOps
• SAST y DAST

Día 5 – Mañana

Ejercicios prácticos

• SAST con SonarQube
• DAST con OWASP ZAP

Seguridad en ejecución

• Limitar reconocimiento
• Limitar impacto
• Gestión de incidentes

Día 5 – Tarde

Hardening

• Sistema operativo
• Autenticación
• Firewall
• Configuración

Hardening de aplicaciones

Ejercicios prácticos

• Monitorización
• Permisos
• Vulnerabilidades
• Seguridad de servidores

Metodología

Metodología de la formación seguridad aplicaciones web

• Formación presencial o a distancia
• Métodos demostrativos, interrogativos y activos con ejercicios prácticos

Evaluación de la formación seguridad aplicaciones web

• Durante la formación: estudios de caso y ejercicios
• Al final: cuestionario de autoevaluación

Bonificación Fundae

Esta formación es bonificable a través de FUNDAE para todas las empresas que cuenten con trabajadores en régimen general de la Seguridad Social y dispongan de crédito formativo. SKOLAE Formación gestiona todo el proceso administrativo necesario para que tu empresa pueda recuperar el importe invertido en la formación, siempre que se cumplan los requisitos legales y de comunicación establecidos por FUNDAE.

Formador

La formación es impartida por un formador experto en ciberseguridad, desarrollo seguro y pentesting de aplicaciones web, con experiencia en auditorías, DevSecOps y protección de entornos críticos.

Aporta una visión práctica sobre ataques reales, herramientas de seguridad y estrategias de protección en aplicaciones web.

¿Te gustó esta formación? Suscríbete a nuestra Newsletter pinchando aquí. También te animamos a seguirnos en LinkedIn, Instagram y Facebook y así estarás al día de todas nuestras novedades.