template-browser-not-supported

Máster Universitario en Ingeniería Web (En Extinción)

Estudia

Atrás Atrás

Sistemas de Seguridad en la Web

Código asignatura
MINGEWEB-1-024
Curso
Primero
Temporalidad
Segundo Semestre
Carácter
Obligatoria
Créditos
3
Pertenece al itinerario Bilingüe
No
Guía docente

El propósito de esta asignatura es estudiar, analizar y comprender los diferentes ataques que pueden sufrir los servidores web y las webs que éstos alojan. Se hará especial hincapié en aspectos que permitan a los alumnos hacer pruebas que les permitan desarrollar webs lo más seguras posible.

Para ello se hará una clasificación de los distintos tipos de ataques, se describirá en qué consiste cada uno de ellos, cuándo se aplican y se darán indicaciones acerca de cómo es posible evitar sus efectos nocivos, aunque ese contenido se detallará en la asignatura “Administración de Servidores Web”, con la que esta asignatura está muy relacionada.

Para desarrollar la asignatura se usarán guías y frameworks establecidos internacionalmente como el MITRE ATT&CK y el OWASP Web Security Testing Guide (WSTG). También se usarán herramientas de seguridad profesionales que serán aplicadas a ejemplos en escenarios controlados, para que puedan verse los efectos de los ataques y las posibles contramedidas a establecer sin poner en peligro ninguna infraestructura real.

El principal objetivo a lograr es que el alumno tenga un conocimiento lo más completo posible de cómo se pueden atacar las web que él mismo cree, de manera que pueda ya no solo intentar crearlas sin esos puntos débiles, sino también probar que otras webs no los poseen y proceder a arreglarlas en ese caso.

Para cursar esta asignatura, es necesario que el alumno tenga:

  • Conocimientos básicos de administración de Windows y Linux, provenientes de la asignatura de “Administración de Sistemas Operativos” que se imparte antes que ésta.
  • Conocimientos básicos de tipos de redes y protocolos de red, provenientes también de la asignatura de “Administración de Sistemas Operativos”.
  • Conocimientos del funcionamiento interno de un servidor web y de las peticiones HTTP, junto con otros elementos que pueden intervenir en el funcionamiento de un servidor (cookies, proxies, ...). Estos conocimientos provienen de la asignatura antes mencionada.
  • Capacidad para la lectura y comprensión de textos en inglés, ya que buena parte de los materiales entregados y referenciados está en este idioma.

Competencias generales

  • O7. Capacidad para realizar la puesta en marcha, dirigir y gestionar de procesos de fabricación de equipos informáticos, con garantía de la seguridad para las personas y bienes, la calidad final de los productos y su homologación.
  • O8. Capacidad para aplicar los conocimientos adquiridos y de resolver problemas en entornos nuevos o poco conocidos dentro de contextos más amplios y multidisciplinares, siendo capaces de integrar estos conocimientos.
  • O9. Capacidad para comprender y aplicar la responsabilidad ética, la legislación y la deontología profesional de la actividad de la profesión de Ingeniero en Informática.

Competencias específicas

  • IW04. Competencia para determinar los aspectos legales, éticos y culturales asociados a una solución Web.
  • IW06. Competencia para el empleo de tecnologías web en determinadas aplicaciones específicas.
  • TI03. Capacidad para asegurar, gestionar, auditar y certificar la calidad de los desarrollos, procesos, sistemas, servicios, aplicaciones y productos informáticos.
  • TI04. Capacidad para diseñar, desarrollar, gestionar y evaluar mecanismos de certificación y garantía de seguridad en el tratamiento y acceso a la información en un sistema de procesamiento local o distribuido.
  • DG1. Capacidad para la integración de tecnologías, aplicaciones, servicios y sistemas propios de la Ingeniería Informática, con carácter generalista, y en contextos más amplios y multidisciplinares.

Resultados de aprendizaje

ID

Resultado de aprendizaje

Competencias con las que se relaciona

53

Saber distinguir y clasificar los distintos tipos de ataques existentes

O8

TI4

 

54

Conocer, identificar y solventar los principales problemas de seguridad que pueden afectar a servidores web

O8

TI4

IW6

55

Conocer, identificar y solventar los principales problemas de seguridad que pueden afectar a portales web

O8

TI3

DG1

56

Tener capacidad para desarrollar y poner en producción webs de forma más segura.

O7

DG1

TI4

57

Poder hacer un estudio de pentesting sobre un servidor web objetivo

O7

O9

IW4

58

Poder hacer un informe completo de seguridad de una web dada y saber aplicar ataques a sus propias webs como método de descubrimiento de los fallos existentes en las mismas y una vía para buscarles soluciones

O9

O8

IW4

59

Ser capaz de asesorar a otros acerca de la seguridad de sus servidores y webs

O9

IW4

TI4

60

Poder reaccionar ante ataques a una infraestructura o web de forma rápida y efectiva

O8

DG1

IW6

61

Saber aplicar y defenderse de las distintas técnicas de identificación de objetivos de ataque existentes

O8

IW6

 

62

Saber aplicar y defenderse de las distintas técnicas de ataque aprovechándose de los medios para guardar el estado de una web

O7

O8

IW6

63

Saber aplicar y defenderse de las distintas técnicas de ataque que puede iniciar un cliente o usuario web

O8

IW6

 

64

Saber aplicar y defenderse de las distintas técnicas de ataque basadas en la inyección de código

O8

IW6

 

65

Poder responder de manera efectiva a un ataque realizado sobre una web

O8

IW6

 
  • Introducción: Técnicas de evaluación de la seguridad de un servidor y/o aplicación web basadas en el framework MITRE ATT&CK

    • Creación de informes de auditorías de seguridad

  • Técnicas de reconocimiento de objetivos reflejadas en el MITRE ATT&CK

    • Aplicación de la OWASP Web Security Testing Guide (WSTG) al reconocimiento de servidores y aplicaciones web

    • Técnicas OSINT para el descubrimiento de información de personas y organizaciones y relación con el MITRE ATT&CK

  • Técnicas de desarrollo de recursos para la implantación de auditorías web

  • Técnicas de acceso inicial a objetivos reflejadas en el MITRE ATT&CK

    • Aplicación de la OWASP Web Security Testing Guide (WSTG) al acceso inicial a servidores y aplicaciones web

  • Técnicas de ejecución en objetivos reflejadas en el MITRE ATT&CK

  • Introducción a técnicas típicoas de post-explotación reflejadas en el MITRE ATT&CK aplicables a servidores y aplicaciones web: efectos y consecuencias

El profesor impartirá hasta 3 horas diarias de actividades, consistentes en clases expositivas y de prácticas de laboratorio donde se les explicará a los estudiantes, a través de la teoría y ejemplos prácticos asociados a la misma, los distintos contenidos de la asignatura.

Al finalizar la exposición, tanto en el tiempo de clase presencial restante tras la explicación como en las horas de trabajo personal del estudiante, este desarrollará las actividades prácticas de las que consta la evaluación de la asignatura. En este tiempo de clase los estudiantes podrán discutir las actividades a realizar y exponer sus problemas e inquietudes entre ellos o ante el profesor, para así abordar su trabajo personal con mayor facilidad.

El estudiante puede aprovechar además el tiempo de clase en el que se estén desarrollando actividades prácticas para plantear dudas sobre la realización de las mismas.

MODALIDADES

Horas

%

Totales

Presencial

Clases Expositivas

10

13,33%

22,5

Práctica de aula / Seminarios / Talleres

1,5

2%

Prácticas de laboratorio / campo / aula de informática / aula de idiomas

11

14,66%

Prácticas clínicas hospitalarias

 0

0%

Tutorías grupales

 0

0%

Prácticas Externas

 0

0%

Sesiones de evaluación

 0

0%

No presencial

Trabajo en Grupo

0

0%

52,5

Trabajo Individual

52,5

70%

 

Total

75

 


 

De forma excepcional, si las condiciones sanitarias lo requieren, se podrán incluir actividades de docencia no presencial. En cuyo caso, se informará al estudiantado de los cambios efectuados.

De acuerdo al Reglamento de evaluación de los resultados de aprendizaje y de las competencias adquiridas por el alumnado aprobado por Acuerdo de 30 de abril de 2010, del Consejo de Gobierno de la Universidad de Oviedo, los estudiantes tienen derecho a dos convocatorias por curso académico: convocatoria ordinaria-Evaluación Continua y convocatoria extraordinaria.

De forma excepcional, si las condiciones sanitarias lo requieren, se podrán incluir métodos de evaluación no presencial. En cuyo caso, se informará al estudiantado de los cambios efectuados.

Convocatoria Ordinaria-Evaluación Continua

La evaluación de la asignatura consistirá en entregar un único informe describiendo en detalle (de la forma indicada por el profesor) cómo se han realizado una serie de ejercicios prácticos. Para ello:

  • El alumno contará con un boletín que describe un conjunto de ejercicios prácticos propuesto, entregado por el profesor al principio del curso.

  • Los ejercicios del boletín estarán clasificados según su dificultad estimada (complejidad conceptual y tiempo estimado para hacerlos), además de su valoración en puntos asociada. El profesor clasificará los ejercicios hasta en 5 niveles de dificultad, si bien pueden establecerse algunas variaciones justificadas en ejercicios específicos.

  • Los ejercicios abarcarán todos los temas impartidos en cada bloque de la asignatura, estándo claramente divididos y clasificados según los mismos.

  • Realizar todos los ejercicios en dicho boletín excede ampliamente los 10 puntos, pero el objetivo del boletín no es realizarlos todos.

  • El boletín podría especificar una parte de ejercicios obligatoria y una puntuación mínima a alcanzar con dicha parte obligatoria.

  • El resto de los ejercicios a realizar serán elegidos libremente por los alumnos de entre todos los ofertados. De esta manera, una vez evaluadas las competencias básicas, cada alumno puede hacer una parte sustancial de su evaluación configurable según sus preferencias, y así cada alumno puede ser evaluado con un conjunto de ejercicios sustancialmente diferentes.

  • El alumno entregará para su evaluación un informe con los ejercicios que haya elegido, que será corregido por el profesor otorgándole una puntuación total.

  • Se necesitan 5 puntos para superar la asignatura. En el caso de que el alumno supere los 10 puntos en su evaluación final (lo que puede ocurrir si ha elegido un gran número de ejercicios y los ha realizado correctamente), su nota en el acta será de 10 puntos. No obstante, a las mayores puntuaciones finales que excedan 9 puntos se les otorgarán automáticamente matrículas de honor, hasta el máximo número de ellas que se puedan otorgar según lo establecido por la normativa correspondiente.

  • La fecha final de entrega de trabajos será el día indicado en el Calendario Académico del Máster Universitario en Ingeniería Web a las 18:00 horas

Convocatoria Extraordinaria / Evaluación Diferenciada 

En la convocatoria extraordinaria se planteará las actividades a entregar en el periodo oficial de evaluación establecido por el Calendario académico de la Universidad de Oviedo. 

En esta convocatoria, la entrega de las actividades se podrá complementar con una prueba escrita o actividades complementarias sobre el contenido de la materia.

Todos los contenidos, material y la información adicional se ubicarán en la asignatura del Campus virtual de la Universidad de Oviedo. Además, la siguiente bibliografía será de interés para el seguimiento de la asignatura:

  • Hacking con buscadores: Google, Bing & Shodan + Robtex. Editorial 0xW0rd. ISBN: 978-84-616-7589-0
  • Ataques en redes de datos IPv4 e IPv6. Editorial 0xW0rd. ISBN: 978-84-6179278-8
  • Hacking Windows: Ataques a sistemas y redes Microsoft. Editorial 0xW0rd. ISBN: 97884-697-4973-9
  • Pentesting con Kali. Editorial 0xW0rd. ISBN: 978-84-608-3207-2
  • Documentación oficial de MITRE ATT&CK: https://attack.mitre.org/
  • Documentación oficial de OWASP Web Security Testing Guide (WSTG): https://owasp.org/www-project-web-security-testing-guide
  • Máxima Seguridad en Windows: Secretos Técnicos. Sergio de los Santos. ISBN: 978- 84-615-4033-4 
  • Extra materials of our Computer Systems Security Course. Jose Manuel Redondo López. https://github.com/jose-r-lopez/SSI_Extra_Materials