CANALSEGURO (FORMACIÓN PRESENCIAL ESPECIALIZADA)

Formación especializada en seguridad informática y de la información Cursos presenciales

- SEGURIDAD EN ENTORNOS WEB -

•  AUDITOR DE SEGURIDAD EN ENTORNOS WEB.

MODULO I – ENTORNO DE DESARROLLO WEB. MYSQL+PHP

•  AUDITOR DE SEGURIDAD EN ENTORNOS WEB.

MODULO II - HACKING ÉTICO WEB

•  AUDITOR DE SEGURIDAD EN ENTORNOS WEB.

MODULO III - SECURIZACIÓN DE INFRAESTRUCTURAS WEB
CANALSEGURO

Modulo 1. ENTORNOS DE DESARROLLO WEB. MYSQL + PHP (33 horas)

Entorno web, apache, lenguajes de implementación y bases de datos
1) Teoría, Instalación y configuración de servidores Web (Apache) + php + mysql + vmware
   a) Funcionamiento y arquitectura de Servidores Web
   b) Arquitectura
   c) Tipos de servidores web
   d) Seguridad y autenticación
   e) Instalación y configuración
   f) Parámetros de gestión de recursos del servidor web Apache
2) Programación Html
   a) Etiquetas
   b) Formularios
   c) Tablas
   d) Capas
3) BD Mysql
   a) ¿Qué es una BD?
    - Conceptos básicos de una base de datos
    - Campos
    - Registros
   b) Herramienta acceso a mysql (sqlyog)
   c) Creación de BD, Tablas y campos
4) Lenguaje SQL
   a) Introducción
   b) Clausulas
5) PHP (introducción y acceso a bases de datos mediante SQL)
   a) Introducción y conceptos básicos de programación.
    - Tipos de datos
    - Variable
    - Constante
    - Estructuras de control
b) Lenguaje PHP
    - Introducción al lenguaje PHP
    - Variables
    - Constantes
    - Estructuras de control
    - Funciones
   c) Acceso a bases de datos
    -  Funciones de PHP y MySQL
   d) Ejemplos HTML + PHP + SQL

Modulo 2. HACKING ÉTICO WEB (55 horas)

1) Presentación general del curso, Introducción y demostraciones reales de ataques en video
   a) Seguridad/inseguridad Informática visión general y definiciones
    - Visión general del mundo Seguridad/inseguridad Web
    - Definiciones: (Bug, vulnerabilidad, exploit, POC, Vector Ataque,etc)
    - ¿ Analista Seguridad = Hacker?
   b) Demostraciones reales de ataque web en videos
2) Tipos de vulnerabilidades Web
   a) Protocolo HTTP . Inyección de cabeceras (Explotación y Contramedidas)
   b) Ataque Inyección SQL (Explotación y Contramedidas)
   c) Ataque Inyección Blind SQL (Explotación y Contramedidas)
   d) Ataque Inyección Blind SQL Basadas en tiempo (Explotación y Contramedidas)
   e) Ataque XSS (Explotación y Contramedidas)
   f) Ataque CSRF (Explotación y Contramedidas)
   g) Ataque RFI (Explotación y Contramedidas)
   h) Ataque LFI (Explotación y Contramedidas)
   i) Ataque LFD (Explotación y Contramedidas)
   j) Path transversal (Explotación y Contramedidas)
   k) Fuzzing de aplicaciones Web
3) Software para evaluación y explotación de vulnerabilidades Web
   a) CD Interactivo con herramientas de explotación y evaluación.
   b) Software de análisis de vulnerabilidades genérico y especifico por ataque.
   c) Software de automatización y gestión de ataques SQL (inyección y blind)
   d) Software de parametrización y adecuación de ataques Web según criterios del auditor
   e) Software de descubrimiento de entornos ocultos Web.
   4) Metodología
   a) OWASP
   b) Prácticas en Entorno DVWA

Modulo 3. SECURIZACIÓN DE INFRAESTRUCTURAS WEB (34 horas)

1) Hardening en entorno PHP
   a. Protección del Core
   b. Niveles de riesgo y su tratamiento
   c. Seguridad en la ejecución de procesos
2) Hardening de servidor Apache
   a. Control de scripts y niveles de ejecución
   b. Seguridad modular y hardening de estructura
   c. Control sobre privilegios
3) Sistemas de seguridad basados en WAF (Web Application Firewall)
   a. Firewalls embebidos y Standalone
   b. Firewalls HTTP/HTTPS
   c. Firewalls Basados en Java
   d. Firewalls Multiservidor
4) Sistemas de seguridad basado en IDS/IPS web
5) Sistemas de seguridad de contenido (Gateway Defense)
   a. Sistema de defensa según contenido, inspección profunda y reacción.
   b. Inspección de código no lícito y ataques de manipulación.
6) Sistemas de seguridad basados en Honeypots
   a. Establecimiento de red trampa
   b. Recolección y gestión de eventos
7) Entornos de servidores seguros especializados
   a. Configuración especifica de entornos securizados
8) Seguridad en los sistemas de autenticación
   a. Protección contra ataques de la identidad en servidores web
9) Descubrimiento de debilidades y parcheo de sistemas implementados
10) Análisis y correlación de eventos y logs
11) Plan de recuperación ante desastres

METODOLOGÍA:
- Explicación del tema a tratar mediante fichas Power-Point
- Desarrollo del ejemplo o ataque por parte del profesor, mediante el uso de maquinas virtuales para implementar lo explicado y material en video capturado de ataques reales.
- Ejercicios prácticos del alumno sobre máquina virtual del ataque aprendido.
- Contramedidas específicas para el vector de ataque estudiado

MATERIAL PARA EL ALUMNO:
- Máquina virtual Windows XP con las herramientas necesarias (Acunetix, absinthe,Archilles, ….).
- Maquina Virtual Backtrack 4.
- Fichas Power-Point con las explicaciones
- Temario completo de cada sección
- Al alumno se le entregan 4 entornos de prueba para que pueda realizar pruebas de todos los vectores de ataque.
- Entorno 1: Este primer entorno realizado por canal seguro, se ha realizado con el fin de ilustrar con capturas de pantallas y videos los diferentes vectores de ataque y su explotación.
- Entorno 2: DVWA-1.0.6
- Entorno 3: Mutillidae1.5
- Entorno 4: WebGoat-OWASP_Standard-5.3_RC1

INDICACIONES:
- CanalSeguro forma profesionales en seguridad informática y de la información en su modalidad de formación online. Para los alumnos que ya están realizando o realicen esta modalidad, los temarios correspondientes a seguridad web quedarán convalidados con estos cursos presenciales.
- En todos los cursos presenciales y online, CanalSeguro facilitará todas las herramientas necesarias para la ejecución de los mismos.
- Para la realización del módulo dos o del tres, es necesario tener conocimientos previos en programación de tornos web, por ello, es necesaria la realización del módulo uno para aquellos que carezcan de estos conocimientos, en el caso contrario, el alumno podrá realizar directamente el módulo dos o tres.

TITULACIÓN: Los alumnos, al finalizar el curso, recibirán un diploma acreditativo del curso correspondiente.

- Módulo I - Entornos de desarrollo web. MySQL + PHP: Diploma acreditativo “Analista de Entornos de Desarrollo Web”

- Modulo II - Hacking ético Web: Diploma acreditativo “Analista en Hacking Ético de Entornos Web”

- Módulo III – Securización de Infraestructuras Web: Diploma acreditativo “Analista en Seguridad de Infraestructuras Web”

                     Módulo I + Módulo II + Módulo III – “Auditor de Seguridad en Entornos Web”

CERTIFICACIÓN: Se entregarán las certificaciones de los tres módulos con las horas y temario impartido y se expedirá un documento acreditativo para la convalidación del temario para la certificación ISPA, obtenida con el curso online “Analista en seguridad informática y de la información”.

 PRECIOS:

Curso: Modulo I - Entornos de desarrollo web. MySQL+PHP: 420 €

Curso: Modulo II - Hacking Ético Web: 590 €

Curso: Modulo III – Securización de infraestructuras Web: 450 €

Curso Completo: Módulo I + Módulo II + Módulo III : 1.300 €

Consultar Financiación y Subvenciones Vigentes Toda la formación impartida por CanalSeguro, tanto los cursos presenciales como los de la modalidad online, pueden ser subvencionados a través de las ayudas recibidas para la formación en el caso de que el alumno lo haga a través de su empresa, siempre que esta tenga al menos un empleado.

A lo largo de estos dias se publicará tanto los emplazamientos exactos de las aulas, como las fecha para la matriculación. La realización de estos cursos se llevará a cabo en las aulas de formación asociadas a Canal Seguro en Madrid, Pamplona y Córdoba.

Para mas información, puede ponerse en contacto en nuestra sección de CONTACTO