Descripción Completa [Sept. 17, 2011, 9:36 a.m.]
1. Objetivos de Aprendizaje y Justificación
Estudiaremos vulnerabilidades típicas de aplicaciones web y como prevenrilas cuando desarrola aplicaciones.
Proteger la privada, autenticidad e integridad de la información es fundamental en toda aplicación, pero especialmente desafiante con aplicaciones web que son accesibles públicamente, dado que muchas personas se dedican a explotar vulnerabilidades y diariamente se descubren nuevas vulnerabilidades y se desarrollan nuevas formas de explotar, herramientas y prácticas.
2. Aspectos metodológicos y logísticos
Usaremos material de diversas fuentes, pero especialmente de OWASP, una organización reconocida, que produce --entre otros-- un buen Estándar para verificar seguridad de aplicaciones web. OWASP también produce WebGoat, una aplicación para aprender sobre seguridad de aplicaciones web que estaremos usando durante este curso. Algunas lecciones de WebGoat requieren que se modifiquen las fuentes en java de esa aplicación, esas lecciones no son obligatorias.
En cada una de las 10 semanas habrá una lección con un tema, una descripción breve, un laboratorio práctico y una breve discusión sobre el tema. Se espera que cada participante escriba sus avances y dificultades en un blog o como comentario a cada lección, así como un resumen de la forma de prevenir la vulnerabilidad descrita en el lenguaje de programación y con el ambiente (framework) que utiliza. Al final nos embarcaremos en un proyecto que emplee buena parte de lo que aprendió en las lecciones previas.
2.1. Cronograma y temas:
Semana | Fechas | Temas |
17.Sep.2011 - 25.Sep.2011 | Inscripciones y Publicidad (su ayuda es bienvenida) | |
1 | 26.Sep.2011 - 2.Oct.2011 | Introducción, instalación de herramientas, lo básico de HTTP. Teleconferencia 27.Sep |
2 | 3.Oct.2011 - 9.Oct.2011 | Fallas en el control de acceso. Teleconferencia 4.Oct |
3 | 10.Oct.2011 - 16.Oct.2011 | Seguridad AJAX. Teleconferencia 11.Oct |
4 | 17.Oct.2011 - 23.Oct.2011 | Fallas en autenticación. Teleconferencia 18.Oct |
5 | 24.Oct.2011 - 30.Oct.2011 | (XSS) Cross Site Scripting. Teleconferencia 25.Oct |
6 | 31.Oct.2011 - 6.Nov.2011 | Fallas de inyección. Teleconferencia 1.Nov |
7 | 7.Nov.2011 - 13.Nov.2011 | Modificación de parámetros. Teleconferencia 8.Nov |
8 | 14.Nov.2011 - 20.Nov.2011 | Fallas en manejo de sesión. Teleconferencia 15.Nov |
9 | 21.Nov.2011- 27.Nov.2011 | Proyecto final. Teleconferencia 22.Nov |
10 | 27.Nov.2011 - 30.Nov.2011 | Encuesta de finalización. |
Para la teleconferencia por favor ingresar al canal #p2pu-153-m7-fundame en la red de IRC de Freenode, bien con un cliente de IRC o bien con un navegador desde http://www.p2pu.org/es/chat/
2.2 Prerequisitios y tarea de inscripción
Este grupo de estudio no tiene prerequisitos pero es recomendable familiaridad con los lenguajes de programación Java, Javascript, PHP y Python. También es recomendable HTML, operar con fluidez el interprete de comandos, emplear un editor como vim.
2.3. Participante y Seguidor
En este curso puede ser bien seguidor o bien participante, de acuerdo al botón que presione (Seguir o Participar).
De un participante esperamos que realice las tareas semanales, de un seguidor no lo esperamos pero también los apoyamos para realizarlas.
2.4. Actividad semanal
Como parte de la capacitación virtual gratuita se propone semanalmente:
- Lecturas de contenidos con licencias abiertas
- Actividad práctica en su computador con WebGoat.
- Comentar actividad e indicar forma de prevención en su lenguaje preferido en blog personal y/o en la página de cada lección; asi mismo comentar publicaciones de otros participantes del grupo de estudio.
- Intervenir en la reunión de teleconferencia de 1 hora.
- Para realizar sugerencias y aportes para los contenidos, herramientas, cronograma y metodología por favor comente esta descripción.
Durante cada semana se espera una dedicación de al menos 3 horas para realizar lecturas, prácticas, ejercicios y retroalimentar.
3. Otras aclaraciones
- Este módulo de capacitación se ha incluido en un plan general de capacitaciones para 2011 por parte de Pasos de Jesús.
- Este módulo de capacitación puede tener complementos presencial retribuido y virtual retribuido dependiendo de preinscripciones en http://capacitacion.pasosdejesus.org/ o escribiendo a info@pasosdeJesus.org
4. Términos y Condiciones Especiales
Este escrito se cede al dominio público de acuerdo a la legislación colombiana, agradeciendo se de crédito a Pasos de Jesús. Ver https://www.pasosdejesus.org/dominio_publico_colombia.html.
Este escrito se dedica a Dios igual que este curso.
Por favor haga comentarios sobre esta descripción completa para adaptar los temas propuestos a sus necesidades.