La secció d'avaluació final està dissenyada per posar a prova els coneixements adquirits al llarg del curs. Aquesta avaluació inclou una combinació de preguntes teòriques i exercicis pràctics que cobreixen els diferents mòduls del curs. L'objectiu és assegurar que els estudiants han assimilat els conceptes clau i són capaços d'aplicar-los en situacions reals.
Objectius de l'Avaluació
- Verificar la comprensió dels conceptes bàsics d'OWASP.
- Avaluar la capacitat d'identificar i mitigar vulnerabilitats en aplicacions web.
- Comprovar l'habilitat per implementar estàndards de seguretat en projectes reals.
- Mesurar la competència en l'ús d'eines OWASP com ZAP.
Estructura de l'Avaluació
L'avaluació final es divideix en dues parts principals:
- Preguntes Teòriques
- Exercicis Pràctics
- Preguntes Teòriques
Les preguntes teòriques cobreixen els conceptes fonamentals de cada mòdul. A continuació es presenten exemples de preguntes per a cada mòdul:
Mòdul 1: Introducció a OWASP
- Què és OWASP i quina és la seva missió?
- Per què és important la seguretat en aplicacions web?
Mòdul 2: Principals Projectes d'OWASP
- Quins són els objectius principals de l'OWASP Top Ten?
- Descriu breument el model OWASP SAMM.
Mòdul 3: OWASP Top Ten
- Explica què és una injecció SQL i com es pot prevenir.
- Quins són els riscos associats a la deserialització insegura?
Mòdul 4: OWASP ASVS
- Quins són els nivells de verificació en ASVS i què representen?
- Com es pot implementar ASVS en un projecte de desenvolupament de programari?
Mòdul 5: OWASP SAMM
- Quins són els dominis de SAMM i com contribueixen a la seguretat del programari?
- Explica el procés d'avaluació de maduresa en SAMM.
Mòdul 6: OWASP ZAP
- Quins són els passos per instal·lar i configurar OWASP ZAP?
- Com es pot automatitzar l'escaneig de vulnerabilitats amb ZAP?
Mòdul 7: Bones Pràctiques i Recomanacions
- Què és el Cicle de Vida de Desenvolupament Segur (SDLC) i per què és important?
- Com es pot integrar la seguretat en un entorn DevOps?
- Exercicis Pràctics
Els exercicis pràctics estan dissenyats per avaluar la capacitat dels estudiants d'aplicar els coneixements teòrics en situacions reals. A continuació es presenten exemples d'exercicis pràctics:
Exercici 1: Identificació de Vulnerabilitats
- Descripció: Utilitzant OWASP ZAP, realitza un escaneig de vulnerabilitats en una aplicació web de prova. Identifica almenys tres vulnerabilitats i descriu com es poden mitigar.
- Objectiu: Avaluar la capacitat d'utilitzar eines de seguretat per identificar vulnerabilitats.
Exercici 2: Implementació de Controls de Seguretat
- Descripció: Implementa mesures de seguretat per prevenir una injecció SQL en una aplicació web. Proporciona el codi abans i després de la implementació.
- Objectiu: Verificar la capacitat d'implementar controls de seguretat en el codi.
Cas d'Estudi 1: Anàlisi d'un Incident de Seguretat
- Descripció: Analitza un incident de seguretat recent en una aplicació web. Descriu les causes de l'incident, les vulnerabilitats explotades i les mesures correctives adoptades.
- Objectiu: Avaluar la capacitat d'analitzar incidents de seguretat i proposar solucions.
Cas d'Estudi 2: Millora de la Seguretat en una Aplicació Web
- Descripció: Proposa un pla detallat per millorar la seguretat d'una aplicació web existent. Inclou una avaluació de riscos, mesures de seguretat recomanades i un pla de implementació.
- Objectiu: Mesurar la capacitat de planificar i implementar millores de seguretat en aplicacions web.
Criteris d'Avaluació
Els criteris d'avaluació es basen en la precisió i la profunditat de les respostes teòriques, així com en la qualitat i l'eficàcia de les solucions proposades en els exercicis pràctics. Els estudiants han de demostrar una comprensió sòlida dels conceptes i la capacitat d'aplicar-los de manera efectiva.
Puntuació
- Preguntes Teòriques: 50%
- Exercicis Pràctics: 50%
Conclusió
L'avaluació final és una oportunitat per consolidar els coneixements adquirits i demostrar la competència en la seguretat d'aplicacions web segons les directrius i estàndards d'OWASP. Els estudiants que superin aquesta avaluació estaran ben preparats per aplicar aquests coneixements en el món real i contribuir a la seguretat de les aplicacions web.
Nota: Assegureu-vos de revisar tots els mòduls i practicar amb les eines i tècniques abans de realitzar l'avaluació final. Bona sort!
Curs d'OWASP: Directrius i Estàndards per a la Seguretat en Aplicacions Web
Mòdul 1: Introducció a OWASP
Mòdul 2: Principals Projectes d'OWASP
- OWASP Top Ten
- OWASP ASVS (Application Security Verification Standard)
- OWASP SAMM (Software Assurance Maturity Model)
- OWASP ZAP (Zed Attack Proxy)
Mòdul 3: OWASP Top Ten
- A1: Injecció
- A2: Pèrdua d'Autenticació
- A3: Exposició de Dades Sensibles
- A4: Entitats Externes XML (XXE)
- A5: Control d'Accés Trencat
- A6: Configuració Incorrecta de Seguretat
- A7: Cross-Site Scripting (XSS)
- A8: Deserialització Insegura
- A9: Ús de Components amb Vulnerabilitats Conegudes
- A10: Registre i Monitoratge Insuficients
Mòdul 4: OWASP ASVS (Application Security Verification Standard)
Mòdul 5: OWASP SAMM (Software Assurance Maturity Model)
Mòdul 6: OWASP ZAP (Zed Attack Proxy)
- Introducció a ZAP
- Instal·lació i Configuració
- Escaneig de Vulnerabilitats
- Automatització de Proves de Seguretat
Mòdul 7: Bones Pràctiques i Recomanacions
- Cicle de Vida de Desenvolupament Segur (SDLC)
- Integració de Seguretat en DevOps
- Capacitació i Sensibilització en Seguretat
- Eines i Recursos Addicionals
Mòdul 8: Exercicis Pràctics i Casos d'Estudi
- Exercici 1: Identificació de Vulnerabilitats
- Exercici 2: Implementació de Controls de Seguretat
- Cas d'Estudi 1: Anàlisi d'un Incident de Seguretat
- Cas d'Estudi 2: Millora de la Seguretat en una Aplicació Web