iLInformatica Live
Iniciar sesiónRegistrarse
22 módulos138 lecciones~15h 32min

OWASP Top 10 — Seguridad de aplicaciones web

Aprende a identificar, explotar (en labs autorizados) y sobre todo mitigar las 10 vulnerabilidades web mas criticas: control de acceso, inyecciones, cripto, SSRF, APIs, DevSecOps y una auditoria profesional como proyecto final.

Temario del curso

1

Introducción a la Seguridad de Aplicaciones Web

0 / 8 lecciones

1
¿Qué es la seguridad de aplicaciones web?4 min
2
Principios de seguridad informática4 min
3
La triada CIA: confidencialidad, integridad y disponibilidad4 min
4
Amenazas, vulnerabilidades y riesgos4 min
5
El ciclo de vida de desarrollo seguro (SSDLC)4 min
6
Qué es OWASP y el Top 104 min
7
Metodologías de evaluación de seguridad3 min
8
Ética y hacking ético3 min
2

Fundamentos de HTTP y aplicaciones web

0 / 8 lecciones

1
Arquitectura cliente-servidor5 min
2
El protocolo HTTP y HTTPS6 min
3
Métodos HTTP5 min
4
Headers HTTP4 min
5
Cookies y sesiones4 min
6
JSON Web Tokens (JWT)6 min
7
APIs REST, JSON y XML4 min
8
El navegador y las DevTools4 min
3

Laboratorio de pentesting web

0 / 7 lecciones

1
Montar tu entorno de pruebas9 min
2
Máquinas virtuales y Kali Linux7 min
3
Docker para laboratorios7 min
4
DVWA7 min
5
OWASP Juice Shop6 min
6
WebGoat5 min
7
Damn Vulnerable API (APIs vulnerables)6 min
4

Herramientas de seguridad web

0 / 8 lecciones

1
Burp Suite8 min
2
OWASP ZAP7 min
3
Proxy e interceptación de tráfico7 min
4
Repetir y manipular peticiones6 min
5
Nmap8 min
6
Wireshark7 min
7
Nikto9 min
8
SQLMap12 min
5

OWASP Top 10: visión general

0 / 4 lecciones

1
Estructura del OWASP Top 105 min
2
Categorías de riesgo y cómo se calculan5 min
3
Impacto empresarial de las vulnerabilidades5 min
4
Tendencias actuales de ataques5 min
6

A01: Broken Access Control

0 / 8 lecciones

1
Qué es el control de acceso5 min
2
Autenticación vs autorización5 min
3
IDOR: referencias directas inseguras a objetos8 min
4
Forced browsing y path traversal6 min
5
Escalada de privilegios8 min
6
Estrategias de mitigación6 min
7
Laboratorio: identificar un IDOR13 min
8
Laboratorio: escalada horizontal y vertical12 min
7

A02: Cryptographic Failures

0 / 7 lecciones

1
Fundamentos de criptografía4 min
2
Hashing y salting8 min
3
Cifrado simétrico y asimétrico7 min
4
TLS y SSL8 min
5
Gestión de claves7 min
6
Exposición de datos sensibles7 min
7
Laboratorio: capturar tráfico inseguro y verificar TLS12 min
8

A03: Injection

0 / 8 lecciones

1
Qué es una inyección6 min
2
SQL Injection9 min
3
NoSQL Injection8 min
4
Command Injection8 min
5
LDAP y XPath Injection10 min
6
Server-Side Template Injection (SSTI)9 min
7
Prevención: validación y ORM seguro7 min
8
Laboratorio: explotar y corregir SQL Injection12 min
9

A04: Insecure Design

0 / 5 lecciones

1
Qué es el diseño inseguro4 min
2
Threat modeling6 min
3
Security by design6 min
4
Arquitecturas seguras6 min
5
Laboratorio: modelar amenazas de una app8 min
10

A05: Security Misconfiguration

0 / 6 lecciones

1
Qué es una mala configuración de seguridad3 min
2
Errores de configuración comunes10 min
3
Hardening de servidores y aplicaciones5 min
4
Exposición de servicios6 min
5
Configuración cloud insegura8 min
6
Laboratorio: auditar y endurecer una configuración16 min
11

A06: Vulnerable and Outdated Components

0 / 6 lecciones

1
Dependencias vulnerables6 min
2
CVE y bases de datos de vulnerabilidades6 min
3
Seguridad de la cadena de suministro5 min
4
Gestión y actualización de dependencias6 min
5
Herramientas: Dependency-Check, Snyk y Trivy12 min
6
Laboratorio: detectar y mitigar librerías vulnerables11 min
12

A07: Identification and Authentication Failures

0 / 6 lecciones

1
Gestión de identidades5 min
2
Gestión de sesiones5 min
3
Autenticación multifactor (MFA)7 min
4
Políticas de contraseñas y hashing8 min
5
Fuerza bruta y credential stuffing7 min
6
Laboratorio: evaluar y proteger la autenticación11 min
13

A08: Software and Data Integrity Failures

0 / 6 lecciones

1
Integridad de software y datos7 min
2
Deserialización insegura7 min
3
Seguridad en CI/CD8 min
4
Supply chain attacks6 min
5
Verificación de firmas9 min
6
Laboratorio: validar integridad y simular un ataque10 min
14

A09: Security Logging and Monitoring Failures

0 / 7 lecciones

1
Por qué importan el logging y el monitoreo4 min
2
Logging seguro7 min
3
SIEM4 min
4
Monitoreo y alertas4 min
5
Detección de incidentes4 min
6
Herramientas: ELK Stack y Wazuh5 min
7
Laboratorio: implementar logs y detectar un ataque11 min
15

A10: Server-Side Request Forgery (SSRF)

0 / 6 lecciones

1
Qué es SSRF5 min
2
SSRF básico8 min
3
Blind SSRF5 min
4
SSRF en cloud y servicios internos6 min
5
Mitigación de SSRF7 min
6
Laboratorio: detectar y proteger contra SSRF12 min
16

APIs y OWASP API Security Top 10

0 / 7 lecciones

1
Introducción a la seguridad de APIs3 min
2
El OWASP API Security Top 104 min
3
Broken Object Level Authorization (BOLA)7 min
4
Excessive data exposure8 min
5
Broken authentication en APIs5 min
6
Rate limiting y API Gateway6 min
7
Laboratorio: evaluar una API REST y GraphQL14 min
17

Seguridad en frameworks modernos

0 / 4 lecciones

1
Seguridad en Django7 min
2
Seguridad en FastAPI6 min
3
Seguridad en Spring Boot y Laravel6 min
4
Seguridad en React, Angular y Vue8 min
18

DevSecOps

0 / 6 lecciones

1
Qué es DevSecOps y shift left4 min
2
SAST: análisis estático de código8 min
3
DAST: análisis dinámico7 min
4
SCA y secret scanning8 min
5
Seguridad en los pipelines7 min
6
Herramientas: SonarQube, Semgrep y GitHub Advanced Security8 min
19

Seguridad en Docker y Kubernetes

0 / 6 lecciones

1
Seguridad en contenedores6 min
2
Hardening de Docker8 min
3
Escaneo de imágenes8 min
4
Seguridad en Kubernetes6 min
5
Network policies5 min
6
Secrets management y RBAC9 min
20

Reportes y gestión de vulnerabilidades

0 / 5 lecciones

1
Metodología de hallazgos5 min
2
Clasificación CVSS6 min
3
Evidencias y recomendaciones6 min
4
Reportes ejecutivos y técnicos6 min
5
Planes de remediación6 min
21

Proyecto final: auditoría completa

0 / 6 lecciones

1
Definición: auditoría de una aplicación web6 min
2
Reconocimiento y mapeo de la aplicación8 min
3
Análisis OWASP Top 10 (manual y automatizado)9 min
4
Análisis de API y validación manual9 min
5
Elaboración del reporte profesional6 min
6
Plan de remediación y presentación ejecutiva8 min
22

Preparación para certificaciones

0 / 4 lecciones

1
Panorama de certificaciones de seguridad web4 min
2
Metodologías de auditoría5 min
3
Simulacros prácticos6 min
4
Roadmap y próximos pasos4 min