Descripción Completa
1. Objetivos de Aprendizaje y Justificación
Estudiaremos vulnerabilidades típicas de aplicaciones web y como prevenirlas durante el desarrollo.
Proteger la privacidad, autenticidad e integridad de la información es fundamental en toda aplicación, pero especialmente desafiante en aplicaciones web que son accesibles públicamente, dado que muchas personas se dedican a explotar vulnerabilidades y diariamente se descubren nuevas vulnerabilidades y se desarrollan nuevas formas de explotar, así como nuevas herramientas y prácticas.
Los organizadores tienen alguna experiencia con aplicaciones web seguras (ver por ejemplo SIVeL).
2. Aspectos metodológicos y logísticos
Usaremos material de diversas fuentes, pero especialmente de OWASP, una organización reconocida, que produce --entre otros-- un buen Estándar para verificar seguridad de aplicaciones web. OWASP también produce WebGoat, una aplicación para aprender sobre seguridad de aplicaciones web que estaremos usando durante este curso. Algunas lecciones de WebGoat requieren que se modifiquen las fuentes en java de esa aplicación, tales lecciones no son obligatorias.
En cada una de las 10 semanas habrá una lección con un tema, una descripción breve, un laboratorio práctico y una breve discusión sobre el tema. Se espera que cada participante escriba sus avances y dificultades en un blog o como comentario a cada lección, así como un resumen de la forma de prevenir la vulnerabilidad descrita en el lenguaje de programación y con el ambiente (framework) que prefiera. Al final nos embarcaremos en un proyecto que emplee buena parte de lo que aprendió en las lecciones previas.
2.1. Cronograma y temas:
Semana | Fechas | Temas |
17.Sep.2011 - 25.Sep.2011 | Inscripciones y Publicidad (su ayuda es bienvenida) | |
1 | 26.Sep.2011 - 2.Oct.2011 | Introducción, instalación de herramientas, lo básico de HTTP. Teleconferencia 27.Sep |
2 | 3.Oct.2011 - 9.Oct.2011 | Fallas en el control de acceso. Teleconferencia 4.Oct |
3 | 10.Oct.2011 - 16.Oct.2011 | Seguridad AJAX. Teleconferencia 11.Oct |
4 | 17.Oct.2011 - 23.Oct.2011 | Fallas en autenticación. Teleconferencia 18.Oct |
5 | 24.Oct.2011 - 30.Oct.2011 | (XSS) Cross Site Scripting. Teleconferencia 25.Oct |
6 | 31.Oct.2011 - 6.Nov.2011 | Fallas de inyección. Teleconferencia 1.Nov |
7 | 7.Nov.2011 - 13.Nov.2011 | Modificación de parámetros. Teleconferencia 8.Nov |
8 | 14.Nov.2011 - 20.Nov.2011 | Fallas en manejo de sesión. Teleconferencia 15.Nov |
9 | 21.Nov.2011- 27.Nov.2011 | Proyecto final. Teleconferencia 22.Nov |
10 | 27.Nov.2011 - 30.Nov.2011 | Encuesta de finalización. |
Para la teleconferencia por favor ingresar al canal #p2pu-334-seguridad- en la red de IRC de Freenode, bien con un cliente de IRC o bien con un navegador desde http://www.p2pu.org/es/chat/
2.2 Prerequisitios y tarea de inscripción
Este grupo de estudio no tiene prerequisitos pero es recomendable familiaridad con los lenguajes de programación Java, Javascript, PHP y Python. También es recomendable HTML, operar con fluidez el interprete de comandos y emplear un editor como vim.
2.3. Participante y Seguidor
En este curso usted puede ser bien seguidor o bien participante, de acuerdo al rol que desee desempñar y al botón que presione (Seguir o Participar).
De un participante esperamos que realice las tareas semanales, de un seguidor no lo esperamos pero también los apoyamos y animamos para realizarlas.
2.4. Actividad semanal
Como parte de la capacitación virtual gratuita se propone semanalmente:
- Lecturas de contenidos con licencias abiertas
- Actividad práctica en su computador con WebGoat.
- Comentar actividad e indicar forma de prevención en su lenguaje preferido en blog personal y/o en la página de cada lección; asi mismo comentar publicaciones de otros participantes del grupo de estudio.
- Intervenir en la reunión de teleconferencia de 1 hora.
- Para realizar sugerencias y aportes para los contenidos, herramientas, cronograma y metodología por favor comente esta descripción.
Durante cada semana se espera una dedicación de al menos 3 horas para realizar lecturas, prácticas, ejercicios y retroalimentar.
3. Idioma Nativo
4. Otras aclaraciones
- Este módulo de capacitación se ha incluido en un plan general de capacitaciones para 2011 por parte de Pasos de Jesús.
- Este módulo de capacitación puede tener complementos presencial retribuido y virtual retribuido dependiendo de preinscripciones. Vea detalles en https://www.pasosdeJesus.org/?pag=m20.
5. Créditos, Términos y Condiciones Especiales
La idea de organizar este curso, así como los elementos generales y buena parte de los contenidos de la versión en inglés (con licencia CC BY-SA), se deben a Jessica Ledbetter con quien estamos agradecidos.
Los aportes a la versión en inglés de Vladimir Támara y los escritos para la versión en español de este curso se ceden al dominio público de acuerdo a la legislación colombiana, agradeciendo se de crédito a Pasos de Jesús.
Este escrito se dedica a Dios igual que este curso y su versión en inglés.
Por favor haga comentarios sobre esta descripción completa para adaptar los temas propuestos a sus necesidades.