Seguridad en Aplicaciones ASP.NET

 Formato: Classroom, Online, Onsite | Duración: 4 días

Descripción general

Descripción general

En este curso los alumnos adquirirán los conocimientos y habilidades necesarias para poder desarrollar aplicaciones seguras siguiendo los principios y estándares de seguridad recomendados oficialmente por los acuerdos empresariales tomados a nivel mundial.

La iniciativa más importante en este terreno, la “Trustworthy Computing Iniciative” establece un conjunto de guías a seguir, y fue adoptada por los principales fabricantes como un compromiso para ofrecer en sus herramientas todo lo necesario para su implantación en las empresas.

Así pues, en este curso, el foco estará en la implantación de los principios generales de seguridad en las distintas fases del ciclo de vida de las aplicaciones, con el foco en ASP.NET y las otras tecnologías asociadas con él: HTML5 y JavaScript, especialmente.

Esto incluye el modelado de amenazas, conocimiento de las técnicas principales de “hacking” en la web, implantación de seguridad en el código fuente, y la instalación de los elementos de seguridad en el entorno cliente final.

Objetivos del curso

Objetivos del curso

Al finalizar este curso los alumnos podrán:

  • Entender los conceptos en los que se basa el modelo de amenazas y su implantación en aplicaciones Web.
  • Manejar los recursos habituales de programación de seguridad en entornos ASP.NET, AJAX y JavaScript (más las nuevas propuestas de HTML5 y sus consecuencias en seguridad).
  • Conocer los tipos de inyección de seguridad más comunes
  • Implantar los fundamentos de Criptografía recomendados para .NET.
  • Implantar soluciones de seguridad basada en certificados.
  • Programar aplicaciones que utilicen los modernos mecanismos de seguridad propuestos a la fecha: oAuth, Claims, STS (Security Token Service), etc.
  • Implantar la autenticación en formularios Web según las últimas recomendaciones.
  • Conocer los más importantes errores comunes en la codificación y cómo corregirlos.

Dirigido a

Dirigido a

Directores de informática, Directores de departamentos tecnológicos, Responsables de desarrollo de software o proyectos tecnológicos, Jefes de proyecto, Analistas con responsabilidad sobre proyectos y, en general, cualquier persona que, por sus necesidades profesionales, deba conocer el funcionamiento de la seguridad y sus técnicas asociadas

Prerrequisitos

Prerrequisitos

Los asistentes deben tener experiencia en proyectos de desarrollo de software con .NET y en la programación con ASP.NET o tecnologías similares.

Contenido del curso

Contenido del curso

1. Introducción a la seguridad en Internet

  • Introducción a la seguridad
  • Iniciativa Trustworthy Computing
  • Modelo de Amenazas
  • Cultura de seguridad en la empresa
  • Seguridad en el ciclo de vida
  • El principio SD3
  • El modelo STRIDE

2. Vulnerabilidades Web

  • Tipos de vulnerabilidades Web
  • ¿Qué es el Cross-Site Scripting?
  • Contramedidas para el XSS
  • Inyección SQL
  • Contramedidas para la inyección SQL
  • Otras vulnerabilidades

3. Seguridad de cliente JavaScript, AJAX, HTML5

  • La seguridad en HTML5
  • Vulnerabilidades en CSS3
  • Seguridad en JavaScript

4. .NET Code Access Security

  • Principios de seguridad en .NET
  • Autenticación y autorización
  • Flujo de identidad
  • Seguridad en el acceso al código
  • Evidencias y permisos
  • Almacenamiento Aislado
  • Cambios a partir de la versión .NET Framework 4.0

5. Criptografía en .NET

  • Fundamentos de criptografía
  • Criptografía simétrica
  • Criptografía asimétrica
  • Infraestructura de Clave Pública (PKI)
  • Manejo de certificados en .NET

6. Aplicaciones ASP.NET 5.0 y la seguridad

  • Fundamentos de seguridad en ASP.NET
  • Seguridad con OAuth (oWin)
  • Operativa de seguridad
  • Bases de datos de seguridad
  • Atributos de autorización/autenticación
  • Login externo
  • Roles

7. Buenas prácticas y errores a evitar en seguridad

  • Recomendaciones generales
  • Ejecutar aplicaciones con privilegios mínimos
  • Conocer a los usuarios
  • Protegerse contra entradas malintencionadas
  • Acceso seguro a bases de datos
  • Crear mensajes de error seguros
  • Mantener segura la información confidencial
  • Usar cookies de forma segura
  • Protegerse contra amenazas de denegación de servicios (DDoS)

Interesante?

¿Quieres más información sobre este curso? Contacta con nosotros y te asesoraremos