Curso de Segurança de Aplicativos Web

Conhecerá os principais riscos de segurança que existem hoje em dia. Aprenderá as técnicas para a detecção, validação e mitigação dos riscos potenciais nas aplicações, que permitem desenvolver aplicações GeneXus Web seguras.
Presencial
Ao vivo online
Español   |   English   |  Português
Objetivo
O objetivo do curso é conscientizar e capacitar as pessoas envolvidas no desenvolvimento de soluções com GeneXus sobre a importância da segurança e técnicas de detecção, validação e mitigação de potenciais riscos existentes em aplicações.

Este curso é destinado principalmente a aquelas pessoas que trabalham com GeneXus, desde analistas, desenvolvedores e testadores até gerentes de projetos que desejam se aprofundar nos principais riscos de segurança que existem hoje em dia.
Como referência e guía do curso é utilizada a última publicação do ranking OWASP Top 10, onde são apresentados os riscos mais comuns das aplicações utilizadas hoje.

Dirigido
Ele é voltado principalmente para aqueles que trabalham com GeneXus, desde analistas, desenvolvedores e testers até para gestores de projeto que desejam se aprofundar nos principais riscos de segurança que existem hoje em dia.

Condições prévias
É recomendado a experiência mínima de 6 meses de desenvolvimento com GeneXus Web.

Modalidades
Este nível pode ser estudado nas seguintes modalidades

   Presencial
Você deve assistir para ter 100% do curso em sala de aula com um instrutor GeneXus. A duração total do curso é de 24 horas, dividido em seis ciclos de quatro horas.
 
  • Requisitos: Os participantes devem trazer seu próprio equipamento, que permita se conectar sem fio ou com fio, para o ambiente que será ministrado o curso. O acesso será através de desktop remoto.
  • Exame: Será realizado um exame presencial, em PC, com perguntas de múltipla escolha e verdadeiro / falso, a fim de verificar se o aluno realmente assimilou efetivamente os conceitos fundamentais vistos no curso. Será aprovado no exame quem obtiver uma percentual igual ou superior a 70%. Caso seja aprovado, receberá o certificado correspondente.

  Online
A duração total do curso é de 24 horas, dividido em seis ciclos de quatro horas.
 
  • Requisitos: Os participantes deverão usar seu próprio computador (laptop ou PC) com conexão à Internet. Para o curso, será fornecido acesso via desktop remoto para um ambiente de trabalho na nuvem. Não é obrigatório possuir disponíveis licenças GeneXus ou de qualquer outro software.
  • Exame: No último dia do curso, será realizado um exame com questões de múltipla escolha e verdadeiro/falso, a fim de verificar se o aluno realmente assimilou os conceitos fundamentais vistos no curso. Será aprovado no exame quem obtiver uma percentual igual ou superior a 70%. Se aprovado, o certificado será fornecido (emitido pelo fabricante da ferramenta).

Metodología
O curso tem uma abordagem teórica, onde é explicado os conceitos básicos, que se devem ser conhecidos para abordar os temas de segurança, e uma parte prática que compreende a maior parte do tempo. 
Para cada um dos pontos do OWASP Top 10 se abordam os seguintes tópicos:
  • Demonstração em um aplicativo de exemplo que permite entender a vulnerabilidade.
  • Explicação teórica do risco que representa.
  • O que GeneXus faz automaticamente para evitar ou mitigar isso.
  • O que deve fazer o desenvolvedor para evitá-lo e que soluções existem.
  • Como detectar se eles precisam tomar algumas medidas.
  • Exercício prático em GeneXus para detectar o problema, explorando, resolvendo e verificando.
Os exercícios práticos são realizados pelos participantes acessando uma máquina virtual que tem um instrutor através de uma LAN que está configurado para a realização do curso.

Instrutor
O instrutor do curso será um dos seguintes profissionais:
 
Esp Engenheiro Gerardo Canedo
Especialista em Segurança Informática e Arquitetura de Software com GeneXus.
Membro do capítulo Uruguai OWASP
https://www.linkedin.com/in/gcanedo
Engenheiro Martín Marsicano 
Consultor de Arquitetura de Software com GeneXus.
https://www.linkedin.com/in/martinmarsicano
Michell Mamrut
Consultor de Arquitetura de Software com GeneXus.
https://www.linkedin.com/in/michellmamrut


Alcance
Como referência e guia do curso será utilizada a última publicação do ranking OWASP Top 10, onde os riscos mais comuns apresentados nas aplicações hoje em dia.
Os principais tópicos do curso são apresentados.

Introdução
Apresentação do instrutor, dos temas a serem abordados no curso e a metodologia de trabalho.

GeneXus & OWASP TOP 10 2017
Pontos para resolver do OWASP Top 10 são:
 
1. A1- Injeções
a. SQL
b. XML
c. JSON
d. OS (Sistema Operativo)
d. Código fonte
2. A2- Quebra de Autenticação 
a. Autenticação
b. Gerenciamento de sessões
3. A3- Exposição de dados sensíveis
a. Armazenamento 
b. Caches
c. Implantação
4. A4- Entidades Externas XML (XXE)
5. A5- Controle de Acesso Quebrado
a. Referência Direta Insegura a Objetos 
b. Ausência de Controle de Acesso às Funções 
6. A6- Configuração de segurança incorreta 
a. Propiedades de la KB
b. Transmissão 
7. A7- Sequência de Comandos em Sites Cruzados (XSS)
8. A8- Desserialização insegura
9. A9- Componentes com vulnerabilidades conhecidas
10. A10- Registro e Monitoramento insuficientes

Ciclo de desenvolvimento seguro
Introdução das tarefas que devem ser executadas para conseguir uma abordagem eficaz e eficiente em termos de segurança.

Material
O material do curso será entregue em formato digital a todos os participantes por e-mail.
O ambiente de trabalho que será utilizado para a parte prática se encontra montado em uma máquina virtual, que é acessado através de desktop remoto, e contém os seguintes elementos:
  • Exemplos de vulnerabilidades em aplicações (WebGoat)
  • GeneXus e uma KB de trabalho
  • Aplicação gerada a partir da KB
  • Ferramentas de suporte (ZAP, Firebug, etc.)
O ambiente de teste não é enviado para os participantes, é usado exclusivamente para realizar o curso.