FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB.

Transcripción

1 FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO II - HACKING ÉTICO WEB AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO III - SECURIZACIÓN DE INFRAESTRUCTURAS WEB

2 Modulo 1. ENTORNOS DE DESARROLLO WEB. MYSQL + PHP (33 horas) Entorno web, apache, lenguajes de implementación y bases de datos 1) Teoría, Instalación y configuración de servidores Web (Apache) + php + mysql + vmware a) Funcionamiento y arquitectura de Servidores Web b) Arquitectura c) Tipos de servidores web d) Seguridad y autenticación e) Instalación y configuración f) Parámetros de gestión de recursos del servidor web Apache 2) Programación Html a) Etiquetas b) Formularios c) Tablas d) Capas 3) BD Mysql a) Qué es una BD? Conceptos básicos de una base de datos Campos Registros b) Herramienta acceso a mysql (sqlyog) c) Creación de BD, Tablas y campos 4) Lenguaje SQL a) Introducción b) Clausulas 5) Php (introducción y acceso a bases de datos mediante SQL) a) Introducción y conceptos básicos de programación. Tipos de datos Variable Constante Estructuras de control b) Lenguaje PHP Introducción al lenguaje PHP Variables Constantes Estructuras de control Funciones c) Acceso a bases de datos Funciones de PHP y MySQL d) Ejemplos HTML + PHP + SQL

3 Modulo 2. HACKING ÉTICO WEB (55 horas) 1) Presentación general del curso, Introducción y demostraciones reales de ataques en video a) Seguridad/inseguridad Informática visión general y definiciones Visión general del mundo Seguridad/inseguridad Web Definiciones: (Bug, vulnerabilidad, exploit, POC, Vector Ataque,etc) Analista Seguridad = Hacker? b) Demostraciones reales de ataque web en videos 2) Tipos de vulnerabilidades Web a) Protocolo HTTP. Inyección de cabeceras (Explotación y Contramedidas) b) Ataque Inyección SQL (Explotación y Contramedidas) c) Ataque Inyección Blind SQL (Explotación y Contramedidas) d) Ataque Inyección Blind SQL Basadas en tiempo (Explotación y Contramedidas) e) Ataque XSS (Explotación y Contramedidas) f) Ataque CSRF (Explotación y Contramedidas) g) Ataque RFI (Explotación y Contramedidas) h) Ataque LFI (Explotación y Contramedidas) i) Ataque LFD (Explotación y Contramedidas) j) Path transversal (Explotación y Contramedidas) k) Fuzzing de aplicaciones Web 3) Software para evaluación y explotación de vulnerabilidades Web a) CD Interactivo con herramientas de explotación y evaluación. b) Software de análisis de vulnerabilidades genérico y especifico por ataque. c) Software de automatización y gestión de ataques SQL (inyección y blind) d) Software de parametrización y adecuación de ataques Web según criterios del auditor e) Software de descubrimiento de entornos ocultos Web. 4) Metodología a) OWASP b) Prácticas en Entorno DVWA

4 Modulo 3. SECURIZACIÓN DE INFRAESTRUCTURAS WEB (34 horas) 1) Hardening en entorno PHP a. Protección del Core b. Niveles de riesgo y su tratamiento c. Seguridad en la ejecución de procesos 2) Hardening de servidor Apache a. Control de scripts y niveles de ejecución b. Seguridad modular y hardening de estructura c. Control sobre privilegios 3) Sistemas de seguridad basados en WAF (Web Application Firewall) a. Firewalls embebidos y Standalone b. Firewalls HTTP/HTTPS c. Firewalls Basados en Java d. Firewalls Multiservidor e. Firewalls en BB.DD. 4) Sistemas de seguridad integral y basado en IDS/IPS web a. Sistemas estáticos e inteligentes 5) Sistemas de seguridad de contenido (Gateway Defense) a. Sistema de defensa según contenido, inspección profunda y reacción. b. Inspección de código no lícito y ataques de manipulación. 6) Sistemas de seguridad basados en Honeypots a. Establecimiento de red trampa b. Recolección y gestión de eventos 7) Entornos de servidores seguros especializados a. Configuración especifica de entornos securizados 8) Seguridad en los sistemas de autenticación a. Protección contra ataques de la identidad en servidores web 9) Descubrimiento de debilidades y parcheo de sistemas implementados a. Control de integridad de Sites y de riesgos críticos b. Analisis a través de buscadores c. Test de Stress 10) Análisis y correlación de eventos y logs y plan ante desastres

5 METODOLOGÍA: Explicación del tema a tratar mediante fichas Power-Point Desarrollo del ejemplo o ataque por parte del profesor, mediante el uso de maquinas virtuales para implementar lo explicado y material en video capturado de ataques reales. Ejercicios prácticos del alumno sobre máquina virtual del ataque aprendido. Contramedidas específicas para el vector de ataque estudiado MATERIAL PARA EL ALUMNO: Máquina virtual Windows XP con las herramientas necesarias (Acunetix, absinthe,archilles,.). Maquina Virtual Backtrack 4. Fichas Power-Point con las explicaciones Temario completo de cada sección Al alumno se le entregan 4 entornos de prueba para que pueda realizar pruebas de todos los vectores de ataque. - Entorno 1: Este primer entorno realizado por canal seguro, se ha realizado con el fin de ilustrar con capturas de pantallas y videos los diferentes vectores de ataque y su explotación. - Entorno 2: DVWA Entorno 3: Mutillidae1.5 - Entorno 4: WebGoat-OWASP_Standard-5.3_RC1 INDICACIONES: CanalSeguro forma profesionales en seguridad informática y de la información en su modalidad de formación online. Para los alumnos que ya están realizando o realicen esta modalidad, los temarios correspondientes a seguridad web quedarán convalidados con estos cursos presenciales. En todos los cursos presenciales y online, CanalSeguro facilitará todas las herramientas necesarias para la ejecución de los mismos. Para la realización de los módulos dos y tres, es necesario tener conocimientos previos en programación de tornos web, por ello, es necesaria la realización del módulo uno para aquellos que carezcan de estos conocimientos, en el caso contrario, el alumno podrá realizar directamente estos módulos.

6 TITULACIÓN: Los alumnos, al finalizar el curso, recibirán un diploma acreditativo del curso correspondiente. - Módulo I - Entornos de desarrollo web. MySQL + PHP: Diploma acreditativo Analista de Entornos de Desarrollo Web - Modulo II - Hacking ético Web: Diploma acreditativo Analista en Hacking Ético de Entornos Web - Módulo III Securización de Infraestructuras Web: Diploma acreditativo Analista en Seguridad de Infraestructuras Web Módulo I + Módulo II + Módulo III Auditor de Seguridad en Entornos Web CERTIFICACIÓN: Se entregarán las certificaciones de los dos módulos con las horas y temario impartido y se expedirá un documento acreditativo para la convalidación del temario para la certificación ISPA, obtenida con el curso online Analista en seguridad informática y de la información. (Más información de este curso en PRECIOS: Curso: Modulo I - Entornos de desarrollo web. MySQL+PHP: 420 Curso: Modulo II - Hacking Ético Web: 590 Curso: Modulo III Securización de infraestructuras Web: 450 Curso Completo: Módulo I + Módulo II + Módulo III : Consultar Financiación y Subvenciones Vigentes Toda la formación impartida por CanalSeguro, tanto los cursos presenciales como los de la modalidad online, pueden ser subvencionados a través de las ayudas recibidas para la formación en el caso de que el alumno lo haga a través de su empresa, siempre que esta tenga al menos un empleado.