Seguridad web esencial: OWASP para builders · Master Laboratory
Programación Web· Intermedio· ~5 horas totales
Seguridad web esencial: OWASP para builders
Aprende a defender tu app web sin ser experto en seguridad. Piensas como atacante para encontrar las vulnerabilidades del OWASP Top 10, montas las defensas que cubren el 80 % de los ataques reales (parametrizar consultas, escapar salidas, CSP, tokens CSRF, contraseñas y secretos bien guardados) y endureces el despliegue con cabeceras, rate limiting, CORS y control de dependencias. Cierras auditando una app deliberadamente vulnerable y dejándola lista para producción, con un informe before/after en tu repo.
1Identificas las vulnerabilidades del OWASP Top 10 en una app real, con evidencia y una severidad razonada para cada hallazgo.
2Previenes inyección, XSS y CSRF aplicando la defensa correcta en cada caso: consultas parametrizadas, output encoding/CSP y tokens con SameSite.
3Endureces la app sacando los secretos del código y configurando cabeceras de seguridad, rate limiting y CORS con criterio.
4Auditas una app con un checklist de despliegue seguro, priorizas por severidad y corriges lo crítico documentando el before/after.
¿Por dónde me van a atacar y cómo lo evito sin ser experto en seguridad, antes de exponer mi app al mundo?
Tu proyecto final
Eres el dev responsable de la seguridad de tu propio servicio, a punto de exponerlo a usuarios reales y a un futuro pentest.. Vas a publicar tu app al mundo y tienes que responder por su seguridad. Partes de la app deliberadamente vulnerable del project_spine y debes dejarla lista para producción sin agujeros conocidos del OWASP Top 10, demostrando cada corrección.
Entregas: Informe de auditoría OWASP de la app (vulnerabilidades encontradas, con evidencia y severidad, + la corrección aplicada y el commit que la arregla) acompañado de un checklist de despliegue seguro cumplido; todo en un repo de GitHub con el before/after demostrable.
Se evalúa
Las vulnerabilidades están correctamente identificadas: cubres el Top 10 relevante a la app, cada hallazgo tiene evidencia (request/snippet) y una severidad razonada.imprescindible
Inyección, XSS y CSRF están mitigados con la defensa correcta en cada caso (consultas parametrizadas, output encoding/CSP, token sincronizador + SameSite) y la corrección está verificada.imprescindible
Los secretos están fuera del código (variables de entorno/secret manager) y la app tiene cabeceras de seguridad, rate limiting en endpoints sensibles y una política CORS de allowlist con criterio.imprescindible
La auditoría y el checklist son de calidad profesional: claridad, severidad priorizada y un before/after demostrable por cada fix.
Cómo progresas
M1analizar
El mapa de amenazas (OWASP Top 10)
M2aplicar
Las defensas que cubren el 80 %
M3evaluar
Endurecer y auditar
3
Control de acceso roto (A01): el #1 que casi nadie cubre bien
Analizar dónde falta autorización en el servidor (IDOR, deny-by-default) y distinguir con claridad autenticación de autorización.