El curso proporciona las habilidades esenciales para desarrolladores de PHP necesarias para hacer que sus aplicaciones sean resistentes a ataques contemporáneos a través de Internet. Las vulnerabilidades web se discuten mediante ejemplos basados en PHP, yendo más allá de las diez vulnerabilidades principales de OWASP, abordando varios tipos de ataques de inyección, inyección de scripts, ataques contra la gestión de sesiones de PHP, referencias directas de objetos inseguras, problemas con cargas de archivos y muchos otros. Las vulnerabilidades relacionadas con PHP se introducen agrupadas en los tipos estándar de vulnerabilidades: falta o impropera validación de entradas, manejo incorrecto de errores y excepciones, uso inapropiado de funciones de seguridad y problemas relacionados con el tiempo y el estado. Para este último punto, discutimos ataques como la evasión de open_basedir, denegación de servicio mediante floats mágicos o ataques por colisión de tablas hash. En todos los casos, los participantes adquirirán familiaridad con las técnicas y funciones más importantes para mitigar los riesgos mencionados.
Se da un enfoque especial a la seguridad del lado del cliente abordando problemas de seguridad en JavaScript, Ajax y HTML5. Se presentan varias extensiones relacionadas con la seguridad para PHP como hash, mcrypt y OpenSSL para criptografía, o Ctype, ext/filter y HTML Purifier para validación de entradas. Las mejores prácticas de endurecimiento se ofrecen en conexión con la configuración de PHP (estableciendo php.ini), Apache y el servidor en general. Finalmente, se proporciona una visión general de varias herramientas y técnicas de prueba de seguridad que los desarrolladores y testers pueden utilizar, incluyendo escáneres de seguridad, pruebas de penetración y packs de exploits, sniffers, servidores proxy, herramientas de fuzzing y analizadores estáticos de código fuente.
Tanto la introducción de vulnerabilidades como las prácticas de configuración se apoyan en una serie de ejercicios prácticos que demuestran las consecuencias de los ataques exitosos, muestran cómo aplicar técnicas de mitigación e introducen el uso de varias extensiones y herramientas.
Los participantes que asisten a este curso
- Comprenderán los conceptos básicos de seguridad, seguridad informática y codificación segura
- Aprenderán sobre vulnerabilidades web más allá de las diez vulnerabilidades principales de OWASP y conocerán cómo evitarlas
- Aprenderán vulnerabilidades del lado del cliente y prácticas de codificación segura
- Tendrán una comprensión práctica de la criptografía
- Aprenderán a utilizar varias características de seguridad de PHP
- Aprenderán sobre errores típicos de codificación y cómo evitarlos
- Serán informados sobre vulnerabilidades recientes del framework PHP
- Obtendrán conocimientos prácticos en el uso de herramientas de prueba de seguridad
- Recibirán fuentes y lecturas adicionales sobre prácticas de codificación segura
Público objetivo
Desarrolladores
Leer más...
