Desarrollo de Seguridad .NET, C # y ASP.NET

Implementar una aplicación en red segura puede ser un desafío, incluso para desarrolladores que hayan utilizado previamente diversos componentes criptográficos (como cifrado y firmas digitales). Para que los participantes comprendan el papel y el uso de estos primitivos criptográficos, primero se proporciona una base sólida sobre los requisitos principales de la comunicación segura: confirmación segura, integridad, confidencialidad, identificación remota y anonimato, presentando también los problemas típicos que pueden dañar estos requisitos junto con soluciones del mundo real.

Dado que la criptografía es un aspecto crítico de la seguridad de redes, se discuten también los algoritmos criptográficos más importantes en la criptografía simétrica, el hashing (resumen criptográfico), la criptografía asimétrica y el acuerdo de claves. En lugar de presentar un trasfondo matemático detallado, estos elementos se analizan desde la perspectiva del desarrollador, mostrando ejemplos típicos de casos de uso y consideraciones prácticas relacionadas con el uso de la criptografía, como las infraestructuras de clave pública (PKI). Se presentan protocolos de seguridad en diversas áreas de la comunicación segura, con un análisis profundo de las familias de protocolos más utilizadas, como IPSEC y SSL/TLS.

Se discuten vulnerabilidades criptográficas típicas relacionadas tanto con ciertos algoritmos criptográficos como con protocolos criptográficos, como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE y similares, así como el ataque de temporización (timing attack) contra RSA. En cada caso, se describen las consideraciones prácticas y las posibles consecuencias de cada problema, sin entrar en detalles matemáticos profundos.

Finalmente, dado que la tecnología XML es central para el intercambio de datos entre aplicaciones en red, se describen los aspectos de seguridad del XML. Esto incluye el uso de XML dentro de servicios web y mensajes SOAP junto con medidas de protección como la firma XML y el cifrado XML, así como las debilidades en esas medidas de protección y problemas de seguridad específicos de XML, como la inyección XML, ataques de entidad externa XML (XXE), bombas XML e inyección XPath.

Los participantes que asistan a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad informática y codificación segura.
• Comprenderán los requisitos de la comunicación segura.
• Aprenden sobre ataques y defensas en redes en diferentes capas del modelo OSI.
• Tendrán una comprensión práctica de la criptografía.
• Comprenderán los protocolos de seguridad esenciales.
• Comprenderán algunos ataques recientes contra sistemas criptográficos.
• Obtendrán información sobre algunas vulnerabilidades recientes relacionadas.
• Comprenderán los conceptos de seguridad de los servicios web.
• Recibirán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público objetivo

Desarrolladores, profesionales

Escribir código seguro en C y C++ exige una defensa rigurosa contra la explotación maliciosa, la corrupción de memoria y los bypasses en la validación de entradas. Este programa analiza patrones de vulnerabilidad como desbordamientos de búfer, uso después de liberación (use-after-free), desbordamientos enteros y confusión de tipos. Los participantes aplican directrices de programación segura, herramientas de análisis estático y técnicas de programación defensiva para eliminar debilidades, imponer la sanitización de entradas y entregar software endurecido y resistente ante ciberataques.

Incluso los programadores de Java con experiencia no dominan necesariamente todos los servicios de seguridad que ofrece Java, y tampoco son conscientes de las distintas vulnerabilidades relevantes para las aplicaciones web desarrolladas en este lenguaje.

Este curso, además de introducir los componentes de seguridad de la Edición Estándar de Java, aborda las cuestiones de seguridad propias de la Edición Empresarial de Java (JEE) y de los servicios web. El análisis de los servicios específicos se precede con los fundamentos de la criptografía y las comunicaciones seguras. Diferentes ejercicios tratan sobre técnicas de seguridad declarativa y programática en JEE, mientras que también se discuten la seguridad de la capa de transporte y de extremo a extremo en los servicios web. Se presenta el uso de todos estos componentes a través de varios ejercicios prácticos, donde los participantes pueden probar por sí mismos las API y herramientas discutidas.

El curso también analiza y explica los fallos de programación más frecuentes y graves del lenguaje y la plataforma Java, así como las vulnerabilidades relacionadas con la web. Además de los errores típicos cometidos por los programadores de Java, las vulnerabilidades de seguridad introducidas abarcan tanto problemas específicos del lenguaje como problemas derivados del entorno de ejecución. Todas las vulnerabilidades y los ataques correspondientes se demuestran mediante ejercicios fáciles de entender, seguidos de las pautas de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asisten a este curso

• Comprenderán los conceptos básicos de seguridad, la seguridad de la tecnología de la información (TI) y la programación segura.
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas.
• Comprenderán los conceptos de seguridad de los servicios web.
• Aprenderán a utilizar diversas características de seguridad del entorno de desarrollo de Java.
• Tendrán una comprensión práctica de la criptografía.
• Comprenderán las soluciones de seguridad de Java EE.
• Aprenderán sobre errores de codificación típicos y cómo evitarlos.
• Recibirán información sobre algunas vulnerabilidades recientes en el marco de trabajo de Java.
• Obtendrán conocimientos prácticos sobre el uso de herramientas de prueba de seguridad.
• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público objetivo

Desarrolladores

El curso proporciona las habilidades esenciales para desarrolladores de PHP necesarias para hacer que sus aplicaciones sean resistentes a ataques contemporáneos a través de Internet. Las vulnerabilidades web se discuten mediante ejemplos basados en PHP, yendo más allá de las diez vulnerabilidades principales de OWASP, abordando varios tipos de ataques de inyección, inyección de scripts, ataques contra la gestión de sesiones de PHP, referencias directas de objetos inseguras, problemas con cargas de archivos y muchos otros. Las vulnerabilidades relacionadas con PHP se introducen agrupadas en los tipos estándar de vulnerabilidades: falta o impropera validación de entradas, manejo incorrecto de errores y excepciones, uso inapropiado de funciones de seguridad y problemas relacionados con el tiempo y el estado. Para este último punto, discutimos ataques como la evasión de open_basedir, denegación de servicio mediante floats mágicos o ataques por colisión de tablas hash. En todos los casos, los participantes adquirirán familiaridad con las técnicas y funciones más importantes para mitigar los riesgos mencionados.

Se da un enfoque especial a la seguridad del lado del cliente abordando problemas de seguridad en JavaScript, Ajax y HTML5. Se presentan varias extensiones relacionadas con la seguridad para PHP como hash, mcrypt y OpenSSL para criptografía, o Ctype, ext/filter y HTML Purifier para validación de entradas. Las mejores prácticas de endurecimiento se ofrecen en conexión con la configuración de PHP (estableciendo php.ini), Apache y el servidor en general. Finalmente, se proporciona una visión general de varias herramientas y técnicas de prueba de seguridad que los desarrolladores y testers pueden utilizar, incluyendo escáneres de seguridad, pruebas de penetración y packs de exploits, sniffers, servidores proxy, herramientas de fuzzing y analizadores estáticos de código fuente.

Tanto la introducción de vulnerabilidades como las prácticas de configuración se apoyan en una serie de ejercicios prácticos que demuestran las consecuencias de los ataques exitosos, muestran cómo aplicar técnicas de mitigación e introducen el uso de varias extensiones y herramientas.

Los participantes que asisten a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad informática y codificación segura
• Aprenderán sobre vulnerabilidades web más allá de las diez vulnerabilidades principales de OWASP y conocerán cómo evitarlas
• Aprenderán vulnerabilidades del lado del cliente y prácticas de codificación segura
• Tendrán una comprensión práctica de la criptografía
• Aprenderán a utilizar varias características de seguridad de PHP
• Aprenderán sobre errores típicos de codificación y cómo evitarlos
• Serán informados sobre vulnerabilidades recientes del framework PHP
• Obtendrán conocimientos prácticos en el uso de herramientas de prueba de seguridad
• Recibirán fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores

La formación combinada sobre el core del SDL ofrece una visión general del diseño, desarrollo y prueba de software seguro a través del Ciclo de Desarrollo Seguro (SDL) de Microsoft. Proporciona una introducción básica a los bloques de construcción fundamentales del SDL, seguida de técnicas de diseño para aplicar en las etapas tempranas del proceso de desarrollo con el fin de detectar y corregir defectos.

En lo que respecta a la fase de desarrollo, el curso ofrece una visión general de los errores de programación más comunes relacionados con la seguridad tanto en código administrado como nativo. Se presentan métodos de ataque para las vulnerabilidades discutidas junto con las técnicas de mitigación asociadas, todo ello explicado a través de una serie de ejercicios prácticos que brindan a los participantes una experiencia de hacking en vivo y educativa. Tras introducir los diferentes métodos de prueba de seguridad, se demuestra la eficacia de varias herramientas de prueba. Los participantes pueden comprender el funcionamiento de estas herramientas mediante una serie de ejercicios prácticos aplicándolas al código vulnerable ya discutido.

Los participantes que asistan a este curso

Comprenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura.

Se familiarizarán con los pasos esenciales del Ciclo de Desarrollo Seguro (SDL) de Microsoft.

Aprenderán prácticas de diseño y desarrollo seguros.

Aprenderán los principios de implementación segura.

Comprenderán la metodología de pruebas de seguridad.

• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público objetivo

Desarrolladores, Gerentes

En este curso en vivo con instructores en <ubic>, los participantes aprenderán cómo formular la estrategia de seguridad adecuada para enfrentar el desafío de la seguridad DevOps.

El programa EC-Council Certified DevSecOps Engineer (ECDE) es un curso práctico diseñado para dotar a los profesionales de las competencias necesarias para integrar la seguridad en todo el ciclo de vida de DevOps, permitiendo un desarrollo de software seguro desde la planificación hasta el despliegue.

Esta formación en vivo con instructor (en línea o presencial) está dirigida a profesionales de software y DevOps de nivel intermedio que desean incorporar prácticas de seguridad en sus pipelines CI/CD, garantizando una entrega de código segura y conforme a normativas.

Al finalizar esta capacitación, los participantes podrán:

• Comprender los principios y las prácticas de DevSecOps.
• Asegurar cada etapa del pipeline CI/CD mediante herramientas automatizadas.
• Implementar prácticas de codificación segura y análisis de vulnerabilidades.
• Prepararse para la certificación ECDE mediante laboratorios prácticos y revisiones.

Metodología del Curso

• Lecciones interactivas y discusión grupal.
• Uso práctico de herramientas DevSecOps en pipelines simulados.
• Ejercicios guiados centrados en el desarrollo y despliegue seguro.

Opciones de Personalización del Curso

• Para solicitar una formación personalizada basada en los flujos de trabajo o la cadena de herramientas de su equipo, por favor contáctenos para coordinar los detalles.

Este curso en Panama tiene como objetivo ayudar en lo siguiente:

1. Ayudar a los desarrolladores a dominar las técnicas de escritura de código seguro
2. Ayudar a los probadores de software a verificar la seguridad de la aplicación antes de publicarla en el entorno de producción
3. Ayudar a los arquitectos de software a comprender los riesgos asociados con las aplicaciones
4. Ayudar a los líderes de equipo a establecer las normas de seguridad para los desarrolladores
5. Ayudar a los administradores web a configurar los servidores para evitar configuraciones incorrectas

Este curso cubre los conceptos y principios de codificación segura con Java a través de la metodología de pruebas del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP). El Proyecto Abierto de Seguridad de Aplicaciones Web es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías disponibles libremente en el campo de la seguridad de aplicaciones web.

Este curso aborda los conceptos y principios de codificación segura con ASP.NET mediante la metodología de pruebas del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP). OWASP es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías de libre acceso en el campo de la seguridad de aplicaciones web.

Este curso explora las características de seguridad del Framework .NET y cómo asegurar aplicaciones web.