Duración: 3 días
Prerrequisitos
Familiaridad con aplicaciones de arquitecturas de n capas.
Experiencia en el desarrollo o diseño de aplicaciones Web distribuidas.
Experiencia con uno o ambos de los siguientes lenguajes de programación: Microsoft C # Microsoft Visual Basic. NET.
Experiencia en la escritura del lado del servidor y del lado del cliente de scripts usando uno o ambos de los siguientes lenguajes de scripting: Active Server Pages (ASP) , Microsoft ASP.NET
Familiaridad con la totalidad de los siguientes productos de Microsoft y las tecnologías que se recomienda: SQL Server 2000 , Microsoft Internet Information Services (IIS).
Después de completar este curso, los estudiantes serán capaces de:
Definir los principios básicos de, y las motivaciones para la seguridad Web.
Realice un análisis de las amenazas de la Web accesibles.
Usar el conocimiento de autenticación, seguridad Identificadores (DIM), Listas de control de acceso (ACLs), suplantación de identidades y el concepto de funcionamiento con menos privilegio para ayudar a garantizar el acceso a sólo los recursos del sistema que son necesarios para el cumplimiento normal de solicitud de procesamiento.
Ayudar a proteger el sistema de ficheros de datos de utilizar las funciones de Microsoft Windows 2000.
Utilice el Microsoft SQL Server modelo de seguridad y Microsoft ADO.NET para ayudar a proteger una aplicación Web de SQL Server contra los ataques de inyección.
Utilice uno de los CryptoService clases System.Security.Cryptography de los nombres para transformar un bloque de datos en cyphertext.
Ayudar a proteger la porción de una aplicación Web que requiera comunicaciones privadas mediante el uso de Secure Sockets Layer (SSL),.
Utilice la seguridad general de codificación de las mejores prácticas para ayudar a garantizar una mayor seguridad de aplicaciones Web.
Utilice el Microsoft. NET Framework para construir una mayor seguridad de aplicaciones web.
Emplear un enfoque estructurado para probar la seguridad de aplicaciones web.
Utilizar un enfoque sistemático y el conocimiento de mejores prácticas de seguridad para ayudar a proteger una aplicación Web existente.
Módulo 1: Introducción a la seguridad de la Web
Este módulo ofrece una visión general de los términos y conceptos de, junto con la justificación de la seguridad Web.
Lecciones
¿Para que la seguridad reforzada en Aplicaciones Web?
Usar el modelo STRIDE para determinar las amenazas
Aplicación de Seguridad: Un panorama
No hay laboratorio para este módulo
Después de completar este módulo, los estudiantes serán capaces de:
Describa por qué la seguridad es una consideración fundamental en el desarrollo de aplicaciones Web.
Describir los métodos básicos de la criptografía, hashing, y firma digital.
Módulo 2: Planificación de la seguridad de aplicaciones Web
En este módulo se describe el proceso general de la incorporación de la seguridad en la aplicación Web de planificación y proceso de diseño.
Lecciones
Un proceso de diseño para la construcción de una mayor seguridad de aplicaciones web
No hay laboratorio para este módulo
Después de completar este módulo, los estudiantes serán capaces de:
Describir el proceso iterativo de diseño de seguridad en una aplicación Web y ser capaces de describir la manera en que cada paso se refiere a las otras medidas.
Clasificar e identificar los tipos más comunes de ataques, la amenaza potencial que suponen los ataques a los sistemas, servicios y datos dentro de la organización, y la relación entre estas amenazas.
Módulo 3: Validación de entrada del usuario
En este módulo se explica los métodos que pueden utilizarse para el control de entrada del usuario, junto con un examen de las consecuencias de no realizar dichos controles.
Lecciones
Entrada de usuario
Tipos de ataques en entradas de usuario
Realización de Validación
Revelando poca información como sea posible para el usuario
Lab 3: Comprobación de entrada del usuario
El estudiante se le dará la tarea de identificar y reparar sin marcar varios campos de entrada de usuario en la pantalla de la caja de envío.
Después de completar este módulo, los estudiantes serán capaces de:
Identificar las fuentes de entrada del usuario en una aplicación Web.
Describir los aspectos de seguridad del cliente / servidor Web paradigma.
Aplicar las aportaciones de los usuarios de verificación.
Utilice el análisis de las comunicaciones y la codificación de las mejores prácticas para evitar el suministro de información a los usuarios que pueden ser movilizados para ataques a la seguridad.
Uso adecuado de gestión de errores para ayudar a garantizar que todos los caminos de repliegue se espera, quería, y no suspender la asignación de recursos.
Reducir el impacto de enialerviceDenial de servicio (DoS), ataques de diversos tipos, tales como la aplicación falle, CPU hambre, hambre de recursos, el ancho de banda y la asfixia.
Módulo 4: Servicios de autentificación en Internet Information Server
Los siguientes temas se tratan en este módulo:
Lecciones
Introducción a la Web de autenticación de clientes
Configurar permisos de acceso para un servidor web
Selección de un Método de autenticación de clientes de seguridad reforzada
Ejecutar servicios como un usuario autenticado
Laboratorio 4: Autenticación y Control de Acceso
Los alumnos deben configurar y ejecutar el proceso de autenticación y de identificación de la tienda online de aplicaciones Web.
Después de completar este módulo, los estudiantes serán capaces de:
Describir todos los métodos de autenticación que cuentan con el apoyo de IIS y Windows 2000 Server y poder seleccionar el mejor método para un determinado conjunto de requisitos.
Utilizar los conocimientos de Windows 2000 mecanismos de control de acceso y el proceso de identificación para configurar adecuadamente la identidad de todos los procesos en un ASP / COM + Web el proceso de solicitud de camino.
Utilizar los conocimientos de Windows 2000 mecanismos de control de acceso y el proceso de identificación para configurar correctamente el acceso de recursos de las identidades que se definen para una aplicación Web.
Módulo 5: Asegurar Páginas Web
Este módulo abarca la seguridad en el contexto de aplicaciones web que se construyen utilizando el. NET Framework.
Lecciones
Autenticación basada en formularios ASP
Código de acceso .NET y Seguridad basado roles.
Reseña de Métodos de autenticación ASP.NET
Trabajar con Windows basada en la autenticación de seguridad en ASP.NET
Trabajar con ASP.NET la autenticación basada en formularios
Lab 5: Obtención de Páginas Web
Los estudiantes tendrán la tarea de completar la puesta en marcha de una aplicación Web ASP.NET y la creación de la autenticación y la suplantación métodos
Después de completar este módulo, los estudiantes serán capaces de:
Describir los elementos que componen el núcleo del modelo de seguridad. NET Framework.
Utilice las mejores prácticas de seguridad y un completo entendimiento del modelo de seguridad en la ejecución de aplicaciones Web ASP.NET.
Módulo 6: Asegurando el sistema de archivos de datos.
En este módulo se enseña a un desarrollador Web cómo ayudar a proteger el sistema de archivos de datos que normalmente es parte de una aplicación Web.
Lecciones
Resumen sobre archivos de seguridad
Control de Acceso Windows
Crear ACLs programáticamente
Ayudar a proteger los archivos de aplicación Web ASP.NET
Lab 6: Obtención de archivos con ACLs
Los estudiantes ayudan a proteger el sistema de archivos de datos en una página ASP.NET.
Después de completar este módulo, los estudiantes serán capaces de:
Describir la forma en que los mecanismos de control de acceso de Windows se utilizan para ayudar a proteger el sistema de archivos de datos.
Utilice las características de Windows para ayudar a proteger datos de aplicaciones Web de la manipulación.
Use los archivos Web.config ASP.NET para restringir el acceso a los archivos que se encuentran en una aplicación Web ASP.NET.
Módulo 7: Asegurar Microsoft SQL Server
En este módulo se enseñará al alumno cómo ayudar a proteger aplicaciones Web de ataques de inyección SQL Server
Lecciones
SQL Server y las Conexiones de Seguridad
Seguridad basada en roles SQL Server
Asegurar la comunicación de SQL Server
Prevención de ataques de inyección SQL
Laboratorio 7: Garantizar datos en Microsoft SQL Server
El estudiante se le dará la tarea de reparación de la aplicación Web mediante la aplicación de los procedimientos almacenados y parámetros de comandos Microsoft ActiveX Data Objects (ADO).
Después de completar este módulo, los estudiantes serán capaces de:
Utilice la Seguridad de SQL Server y ADO.NET modelo para ayudar a proteger una aplicación Web contra ataques.
Módulo 8: Ayudar a proteger privacidad de comunicación e integridad de los datos.
En este módulo se enseña a los mecanismos que pueden utilizarse para ayudar a garantizar la privacidad de comunicación Web y el mensaje de integridad de datos, junto con las directrices para su uso adecuado. Las directrices se presentan como un intento de evitar los errores comunes de aplicación que pueden comprometer la seguridad y el rendimiento.
Lecciones
Introducción a la criptografía
Trabajar con Certificados Digitales
Gestión
Uso de Secure Sockets Layer / Capa de transporte protocolos de seguridad
Uso de Internet Protocolo de Seguridad
8,1 Laboratorio: Obtención de un certificado del servidor
8,2 Laboratorio: Ayudar a proteger Comunicación privacidad e integridad de los datos
Después de completar este módulo, los estudiantes serán capaces de:
Ayudar a proteger las partes de una aplicación web que requieren las comunicaciones privadas mediante el uso de SSL
Módulo 9: Cifrar, Hashing, y la firma de Datos
En este módulo se explica cómo utilizar la funcionalidad criptográfica, con el apoyo de plataformas de Microsoft, para firmar y cifrar los datos.
Lecciones
La encriptación y firma digital de Bibliotecas
Uso de CAPICOM
Utilización de nombres System.Security.Cryptography a hash de datos
Utilización de nombres System.Security.Cryptography cifrar y firmar datos
Laboratorio 9: Hashing de datos
Los alumnos deben firmar el contenido de un archivo cuando éste se almacena y verificar que la firma para ayudar a garantizar la validez de los datos cuando el valor se lee de nuevo.
Después de completar este módulo, los estudiantes serán capaces de:
Utilice una de las clases Servicios criptográficos de los nombres System.Security.Cryptography para transformar un bloque de datos a cyphertext.
Módulo 10: Prueba de Aplicaciones Web para la Seguridad
Este módulo proporcionará a los estudiantes con las habilidades y conocimientos que se requieren para probar una correcta aplicación web para la seguridad.
Lecciones
Pruebas de Seguridad en una aplicación Web
Creación de un Plan de Seguridad de los ensayos
Realización de pruebas de seguridad
Lab 10: casos de prueba para la Seguridad de prueba
Los alumnos deben realizar casos de prueba en el curso de aplicaciones Web.
Después de completar este módulo, los estudiantes serán capaces de:
Diferenciar las pruebas de seguridad de otros tipos de pruebas.
Crear un plan de ensayos de seguridad.
Llevar a cabo con éxito un plan de ensayos de seguridad.
