Descripción Completa


1. Objetivos de Aprendizaje y Justificación

Estudiaremos vulnerabilidades típicas de aplicaciones web y como prevenirlas durante el desarrollo.

Proteger la privacidad, autenticidad e integridad de la información es fundamental en toda aplicación, pero especialmente desafiante en aplicaciones web que son accesibles públicamente, dado que muchas personas se dedican a explotar vulnerabilidades y diariamente se descubren nuevas vulnerabilidades y se desarrollan nuevas formas de explotar, así como nuevas herramientas y prácticas.

 Los organizadores tienen alguna experiencia con aplicaciones web seguras (ver por ejemplo SIVeL).

2. Aspectos metodológicos y logísticos

Usaremos material de diversas fuentes, pero especialmente de OWASP, una organización reconocida, que produce --entre otros-- un buen Estándar para verificar seguridad de aplicaciones web. OWASP también produce WebGoat, una aplicación para aprender sobre seguridad de aplicaciones web que estaremos usando durante este curso. Algunas lecciones de WebGoat requieren que se modifiquen las fuentes en java de esa aplicación, tales lecciones no son obligatorias.

En cada una de las 10 semanas habrá una lección con un tema, una descripción breve, un laboratorio práctico y una breve discusión sobre el tema.  Se espera que cada participante escriba sus avances y dificultades en un blog o como comentario a cada lección, así como un resumen de la forma de prevenir la vulnerabilidad descrita en el lenguaje de programación y con el ambiente (framework) que prefiera.   Al final nos embarcaremos en un proyecto que emplee buena parte de lo que aprendió en las lecciones previas.  

2.1. Cronograma y temas:

 
Semana Fechas Temas
  17.Sep.2011 - 25.Sep.2011 Inscripciones y Publicidad (su ayuda es bienvenida)
1 26.Sep.2011 - 2.Oct.2011 Introducción, instalación de herramientas, lo básico de HTTP. Teleconferencia 27.Sep
2 3.Oct.2011 - 9.Oct.2011 Fallas en el control de acceso. Teleconferencia 4.Oct
3 10.Oct.2011 - 16.Oct.2011 Seguridad AJAX. Teleconferencia 11.Oct
4 17.Oct.2011 - 23.Oct.2011 Fallas en autenticación. Teleconferencia 18.Oct
5 24.Oct.2011 - 30.Oct.2011 (XSS) Cross Site Scripting. Teleconferencia 25.Oct
6 31.Oct.2011 - 6.Nov.2011 Fallas de inyección. Teleconferencia 1.Nov
7 7.Nov.2011 - 13.Nov.2011 Modificación de parámetros. Teleconferencia 8.Nov
8 14.Nov.2011 - 20.Nov.2011 Fallas en manejo de sesión. Teleconferencia 15.Nov
9 21.Nov.2011- 27.Nov.2011 Proyecto final. Teleconferencia 22.Nov
10 27.Nov.2011 - 30.Nov.2011 Encuesta de finalización. 

 

Para la teleconferencia por favor ingresar al canal  #p2pu-334-seguridad- en la red de IRC de Freenode, bien con un cliente de IRC o bien con un navegador desde  http://www.p2pu.org/es/chat/
 

2.2 Prerequisitios y tarea de inscripción

Este grupo de estudio no tiene prerequisitos pero es recomendable familiaridad con los lenguajes de programación Java, Javascript, PHP y Python.   También es recomendable HTML, operar con fluidez el interprete de comandos y emplear un editor como vim.

2.3. Participante y Seguidor

En este curso usted puede ser bien seguidor o bien participante, de acuerdo al rol que desee desempñar y al botón que presione (Seguir o Participar). 

De un participante esperamos que realice las tareas semanales, de un seguidor no lo esperamos pero también los apoyamos y animamos para realizarlas.

2.4. Actividad semanal

Como parte de la capacitación virtual gratuita se propone semanalmente:

  • Lecturas de contenidos con licencias abiertas
  • Actividad práctica en su computador con WebGoat.
  • Comentar actividad e indicar forma de prevención en su lenguaje preferido en blog personal y/o en la página de cada lección; asi mismo comentar publicaciones de otros participantes del grupo de estudio.
  • Intervenir en la reunión de teleconferencia de 1 hora.
  • Para realizar sugerencias y aportes para los contenidos, herramientas, cronograma y metodología por favor comente esta descripción.

Durante cada semana se espera una dedicación de al menos 3 horas para realizar lecturas, prácticas, ejercicios y retroalimentar.

3. Idioma Nativo

Hay versiones casi paralelas de este curso en Español y en Inglés
 

4. Otras aclaraciones

 

 

5. Créditos, Términos y Condiciones Especiales

 

La idea de organizar este curso, así como los elementos generales y buena parte de los contenidos de la versión en inglés (con licencia CC BY-SA), se deben a Jessica Ledbetter con quien estamos agradecidos.

Los aportes a la versión en inglés de Vladimir Támara y los escritos para la versión en español de este curso se ceden al dominio público de acuerdo a la legislación colombiana, agradeciendo se de crédito a Pasos de Jesús. 

Este escrito se dedica a Dios igual que este curso y su versión en inglés.

Por favor haga comentarios sobre esta descripción completa para adaptar los temas propuestos a sus necesidades.

任务讨论