Ortega Candel, José Manuel <br/><br/>
Desarrollo Seguro en Ingenieria del Software. Aplicaciones Seguras con Android, Nodejs, Python y C++ 

 - 1A. ed 
 - ESPAÑA  MARCOMBO  2020 
 - 386  24.0 
<br/><br/>Capítulo 1. Introducción al Desarrollo Seguro <br/>. -- 1.1 Propiedades del Software Seguro <br/>. -- 1.2 Principios de Diseño Seguro de Aplicaciones <br/>. -- 1.2.1 Minimizar el Área de la Superficie de Ataque<br/>. -- 1.2.2 Seguridad por Defecto<br/>. -- 1.2.3 Privilegios Mínimos <br/>. -- 1.2.4 Validación de Datos de Entrada <br/>. -- 1.2.5 Defensa en Profundidad<br/>. -- 1.2.6 Control Seguro de Errores <br/>. -- 1.2.7 Separación de Funciones <br/>. -- 1.2.8 Evitar la Seguridad por Oscuridad <br/>. -- 1.3 Análisis de Requisitos de Seguridad <br/>. -- Capítulo 2. Aspectos Fundamentales de Desarrollo Seguro <br/>. -- 2.1 Controles Proactivos <br/>. -- 2.2 Owasp (Open Web Application Security Project) <br/>. -- 2.3. Owasp Mobile Security Project <br/>. -- 2.4 Controles Proactivos Owasp <br/>. -- 2.4.1 Verificación de la Seguridad Desde las Primeras Etapas de Desarrollo <br/>. -- 2.4.2 Validación de las Entradas del Cliente <br/>. -- 2.4.3 Desbordamientos del Búfer <br/>. -- 2.4.4 Gestión de Sesiones <br/>. -- 2.4.5 Implementación de Controles de Acceso <br/>. -- 2.4.6 Implementación de Controles de Identidad y Autenticación <br/>. -- 2.4.7 Autenticación por Múltiples Factores <br/>. -- 2.4.8 Manejo de Errores y Excepciones <br/>. -- 2.5 Ataques en Aplicaciones Web <br/>. -- 2.5.1 Vectores de Ataque <br/>. -- 2.5.2 Cross-Site Scripting (Xss) <br/>. -- 2.5.3 Cross-Site Request Forgery (Csrf) <br/>. -- 2.5.4 Seguridad en las Redirecciones<br/>. -- 2.6 Sql Injection: Parametrización de las Consultas en Bases de Datos <br/>. -- 2.6.1 Introducción a Sql Injection <br/>. -- 2.6.2 Problemas que Pueden Causar Este Tipo de Ataques <br/>. -- 2.6.3 Ejemplo de Inyección de Sql <br/>. -- 2.6.4 Escapar Caracteres Especiales Utilizados en las Consultas Sql <br/>. -- 2.6.5 delimitación de los Valores de las Consultas <br/>. -- 2.6.6 Uso de Sentencias Preparadas Parametrizadas <br/>. -- 2.6.7 Uso de Procedimientos Almacenados <br/>. -- 2.7 Seguridad en Ajax <br/>. -- Capítulo 3. Herramientas Owasp<br/>. -- 3.1 Defectdojo<br/>. -- 3.2 Sonarqube <br/>. -- 3.2.1 el Cuadro de Mando de Sonarqube<br/>. -- 3.2.2 Issues por Nivel de Criticidad <br/>. -- 3.2.3 Perfiles de Calidad <br/>. -- 3.2.4 Reglas Sonarqube <br/>. -- 3.2.5 Informes de Seguridad en Sonarqube <br/>. -- 3.2.6 Sonarqube Plugins <br/>. -- 3.2.7 Vulnerabilidades Más Comunes y Explotadas <br/>. -- 3.3 Find Security Bugs <br/>. -- 3.3.1 Inyección Potencial de Android Sql <br/>. -- 3.3.2 Abrir un Socket Sin Cifrar <br/>. -- 3.4 Lgtm <br/>. -- 3.5 Oss Index <br/>. -- 3.6 Snyk <br/>. -- 3.7 Otras Herramientas de Análisis Estático <br/>. -- 3.8 Checklist de Seguridad <br/>. -- Capítulo 4. Seguridad en Aplicaciones Android <br/>. -- 4.1 Introducción al Protocolo Https <br/>. -- 4.1.1 Conceptos Básicos Sobre Certificados <br/>. -- 4.1.2 Despliegues en Producción <br/>. -- 4.1.3 Certificado de Servidor Autofirmado <br/>. -- 4.1.4 Ca no Encontrada Dentro de la Cadena de Certificados <br/>. -- 4.1.5 Configuración de Seguridad <br/>. -- 4.1.6 Actualización de Proveedores Criptográficos <br/>. -- 4.1.7 Android Certificate Pinning <br/>. -- 4.1.8 Cifrado Extremo a Extremo <br/>. -- 4.1.9 Firmando una Aplicación Android <br/>. -- 4.2 Principios Fundamentales de Desarrollo en Android <br/>. -- 4.2.1 Componentes en Android <br/>. -- 4.2.2 Android Lint <br/>. -- 4.3 Ingeniería Inversa en Android <br/>. -- 4.3.1 Adb (Android Debug Bridge) <br/>. -- 4.3.2 Dex2jar <br/>. -- 4.3.3 Jd-Gui <br/>. -- 4.3.4 Jadx - Dex To Java Decompiler <br/>. -- 4.3.5 Apktool <br/>. -- 4.3.6 Código Smali y Mobylizer <br/>. -- 4.3.7 Androwarn <br/>. -- 4.3.8 Mobile Security Framework (Mobsf) <br/>. -- 4.3.9 Classyshark <br/>. -- 4.3.10 Drozer <br/>. -- 4.3.11 Qark <br/>. -- 4.3.12 Sandroid <br/>. -- 4.3.13 Yaazhini <br/>. -- 4.4 Buenas Prácticas de Desarrollo Seguro en Android <br/>. -- 4.4.1 Seguridad en Androidmanifest.Xml <br/>. -- 4.4.2 Modelo de Permisos en Android <br/>. -- 4.4.3 Asegurando la Capa de Aplicación <br/>. -- 4.4.4 Evitar Almacenar Datos Confidenciales en el Dispositivo <br/>. -- 4.4.5 Uso Adecuado del Componente Webview <br/>. -- 4.4.6 Usar Método Post para el Envío de Datos Confidenciales <br/>. -- 4.4.7 Validar los Certificados Ssl/Tls <br/>. -- 4.4.8 Restricción de Uso de la Aplicación a Determinados Dispositivos <br/>. -- 4.4.9 Gestión de Logs <br/>. -- 4.4.10 Comprobar la Conexión de Red <br/>. -- 4.4.11 Realizar Operaciones de Red en un Hilo Separado <br/>. -- 4.4.12 Permisos de Localización <br/>. -- 4.4.13 Optimizar el Código en Android y Memoria Caché <br/>. -- 4.4.14 Implementación Segura de Proveedores de Contenido <br/>. -- 4.4.15 Almacenamiento de Preferencias Compartidas (Sharedpreferences) <br/>. -- 4.4.16 Almacenamiento Seguro de Preferencias <br/>. -- 4.4.17 Almacenamiento en Ficheros <br/>. -- 4.4.18 Almacenamiento Externo <br/>. -- 4.4.19 Implementación Segura de Intents <br/>. -- 4.4.20 Implementación Segura de Servicios <br/>. -- 4.4.21 Implementación Segura de Broadcast Receivers <br/>. -- 4.4.22 Implementación Segura de Content Providers <br/>. -- 4.4.23 Invocar Actividades de Forma Segura <br/>. -- 4.4.24 Implementar Almacenamiento de Datos Seguro <br/>. -- 4.4.25 Algoritmos Criptográficos <br/>. -- 4.4.26 Uso de Java.Util.String para Almacenar Información Sensible <br/>. -- 4.4.27 Proteger la Configuración de la Aplicación <br/>. -- 4.4.28 Cifrado en Base de Datos Sqlite <br/>. -- 4.4.29 Optimización y Ofuscación del Código con Proguard <br/>. -- 4.5 Metodología Oasam <br/>. -- Capítulo 5. Seguridad en Proyectos Nodejs <br/>. -- 5.1 Introducción a Nodejs <br/>. -- 5.2 Modelo Event-Loop <br/>. -- 5.3 Gestión de Paquetes <br/>. -- 5.4 Programación Asíncrona <br/>. -- 5.5 Problema del Código Piramidal <br/>. -- 5.6 Módulo para Administrar el Sistema de Archivos <br/>. -- 5.7 Módulo Http <br/>. -- 5.8 Utilización del Middleware Express <br/>. -- 5.8.1 Middleware de Nivel de Aplicación <br/>. -- 5.8.2 Middleware de Nivel de Direccionamiento <br/>. -- 5.8.3 Middleware de Terceros <br/>. -- 5.9 Autenticación en Nodejs <br/>. -- 5.9.1 Auth0 <br/>. -- 5.9.2 Passportjs <br/>. -- 5.10 Owasp Top 10 en Nodejs <br/>. -- 5.10.1 Owasp Nodegoat <br/>. -- 5.10.2 Inyección de Código <br/>. -- 5.10.3 Función Eval <br/>. -- 5.10.4 Ataque de Denegación de Servicio <br/>. -- 5.10.5 Uso de Patrones y Expresiones Regulares<br/>. -- 5.10.6 Acceso al Sistema de Ficheros <br/>. -- 5.10.7 Inyección de Sql <br/>. -- 5.10.8 Inyección de Nosql <br/>. -- 5.10.9 Inyección de Logs <br/>. -- 5.10.10 Gestión de la Sesión y Autenticación <br/>. -- 5.10.11 Protegiendo Credenciales de Usuario <br/>. -- 5.10.12 Tiempo de Espera de Sesión y Protección de Cookies <br/>. -- 5.10.13 Secuestro de Sesión (Session Hijacking) <br/>. -- 5.10.14 Módulo Helmet <br/>. -- 5.10.15 Cross-Site Scripting (Xss) <br/>. -- 5.10.16 Referencias de Objetos Directos Inseguros <br/>. -- 5.10.17 Mala Configuración de Seguridad <br/>. -- 5.10.18 Deshabilitar Fingerprinting <br/>. -- 5.10.19 Exposición de Datos Sensibles <br/>. -- 5.10.20 Configurando Ssl/Tls <br/>. -- 5.10.21 Forzar Peticiones Https <br/>. -- 5.10.22 Falta de Control de Acceso<br/>. -- 5.10.23 Redirecciones no Validadas<br/>. -- 5.10.24 Denegación de Servicio Mediante Expresiones Regulares <br/>. -- 5.10.25 Validar Datos de Entrada con Validator <br/>. -- 5.10.26 Validar Datos de Entrada con Express-Validator <br/>. -- 5.10.27 Configuración de Cabeceras Http <br/>. -- 5.10.28 Política de Seguridad de Contenido (Csp) <br/>. -- 5.10.29 Cross-Site Request Forgery (Csrf) <br/>. -- 5.10.30 Ejecutar Código Javascript de Forma Aislada <br/>. -- 5.10.31 Uso de Componentes con Vulnerabilidades Conocidas <br/>. -- 5.10.32 Nodejsscan <br/>. -- Capítulo 6. Seguridad en Proyectos Python <br/>. -- 6.1 Componentes Inseguros en Python <br/>. -- 6.2 Validación Incorrecta de Entrada/Salida <br/>. -- 6.3 Función Eval <br/>. -- 6.4 Serialización y Deserialización de Datos con Pickle<br/>. -- 6.5 Ataques de Inyección de Entrada <br/>. -- 6.5.1 Inyección de Comandos <br/>. -- 6.5.2 Inyección de Sql <br/>. -- 6.6 Acceso Seguro al Sistema de Archivos y Ficheros Temporales <br/>. -- 6.7 Inyección de Xss <br/>. -- 6.8 Inyección de Ssti <br/>. -- 6.9 Servicios para Comprobar la Seguridad de Proyectos Python <br/>. -- 6.9.1 Pyup <br/>. -- 6.9.2 Lgtm en Proyectos Python Desarrollo Seguro en Ingeniería del Software<br/>. -- 6.9.3 Sanitización de las Url <br/>. -- 6.9.4 Uso de un Algoritmo Criptográfico Roto o Débil <br/>. -- 6.9.5 Peticiones con Requests Sin Validación de Certificado <br/>. -- 6.9.6 Uso de la Versión Insegura Ssl/Tls <br/>. -- 6.9.7 Deserialización de Entrada no Confiable <br/>. -- 6.9.8 Vulnerabilidades de Xss <br/>. -- 6.9.9 Exposición de Información a Través de una Excepción <br/>. -- 6.9.10 Conexión con Hosts Remotos Mediante Ssh Utilizando Paramiko <br/>. -- 6.10 Análisis Estático de Código Python <br/>. -- 6.10.1 Python Taint <br/>. -- 6.10.2 Bandit <br/>. -- 6.10.3 Hawkeye <br/>. -- 6.10.4 Dlint <br/>. -- 6.11 Gestión de Dependencias <br/>. -- 6.11.1 Instalación de Dependencias <br/>. -- 6.11.2 Requires.Io <br/>. -- 6.11.3 Safety <br/>. -- 6.11.4 Paquetes Maliciosos en Pypi <br/>. -- 6.12 Python Code Checkers <br/>. -- 6.12.1 Pyflakes <br/>. -- 6.12.2 Pylint <br/>. -- 6.13 Escáner de Seguridad de Aplicaciones Web <br/>. -- 6.13.1 Wascan <br/>. -- 6.13.2 Sqlmap <br/>. -- 6.13.3 Xsscrapy <br/>. -- 6.14 Seguridad en Django <br/>. -- 6.14.1 Protección Ante Ataques Xss <br/>. -- 6.14.2 Protección Ante Ataques Csrf <br/>. -- 6.14.3 Protección de Inyección de Sql <br/>. -- 6.14.4 Protección de Clickjacking <br/>. -- 6.14.5 Ssl/Https <br/>. -- 6.15 Otras Herramientas de Seguridad <br/>. -- 6.15.1 Yosai <br/>. -- 6.15.2 Flask-Security <br/>. -- 6.15.3 Owasp Python Security Project <br/>. -- Capítulo 7. Análisis Estático y Dinámico en Aplicaciones C/C++ <br/>. -- 7.1 Análisis Estático <br/>. -- 7.1.1 Code Analyzer <br/>. -- 7.2 Análisis Estático de Código C/C++ <br/>. -- 7.2.1 Flawfinder <br/>. -- 7.2.2 Clang <br/>. -- 7.2.3 Uso de Variables Sin Inicializar <br/>. -- 7.2.4 Uso Inseguro de Funciones <br/>. -- 7.2.5 Rats <br/>. -- 7.2.6 Vulnerabilidad Cadena de Formato (Format String) <br/>. -- 7.2.7 Pscan para Detectar Vulnerabilidades Format String <br/>. -- 7.2.8 Buffer Overflow <br/>. -- 7.2.9 Tipos de Heap Overflow <br/>. -- 7.2.10 Vulnerabilidad Use After Free <br/>. -- 7.2.11 Dereference After Free <br/>. -- 7.2.12 Vulnerabilidad Double Free<br/>. -- 7.2.13 Vulnerabilidad Off By One <br/>. -- 7.2.14 Vulnerabilidades Race Condition <br/>. -- 7.2.15 Vulnerabilidad Integer Overflow<br/>. -- 7.2.16 Uso de Stackoverflow<br/>. -- 7.3. Análisis Dinámico <br/>. -- 7.3.1. Análisis Dinámico en C/C++ con Valgrind <br/>. -- 7.4 Herramientas de Análisis <br/>. -- Capítulo 8. Metodologías de Desarrollo <br/>. -- 8.1. Metodologías de Desarrollo de Software Seguro <br/>. -- 8.1.1 Correctness By Construction (Cbyc) <br/>. -- 8.1.2 Security Development Lifecycle (Sdlc) <br/>. -- 8.1.3 Fases de la Metodología Sdlc<br/>. -- 8.1.4 Vulnerabilidades en Sdlc<br/>. -- 8.1.5 Tipos de Sdlc <br/>. -- 8.1.5.1 Microsoft Trustworthy Computing Sdl <br/>. -- 8.1.5.2 Clasp <br/>. -- 8.1.5.3 Tsp-Secure <br/>. -- 8.1.5.4 Oracle Software Security Assurance <br/>. -- 8.1.5.5 Propuesta Híbrida <br/>. -- 8.1.6 Tipos de Pruebas de Seguridad Sdlc <br/>. -- 8.1.7 Conclusiones de Ciclo de Vida de Desarrollo de Software (Sdlc) <br/>. -- 8.2 Modelado de Amenazas <br/>. -- 8.2.1 Modelado de Amenazas con Stride <br/>. -- 8.3 Perspectiva del Atacante <br/>. -- 8.4 Patrones de Ataque <br/>. -- 8.5 Owasp Testing Framework y Perfiles para Pruebas de Seguridad <br/>. -- 8.6 Owasp Security Knowledge Framework (Skf) <br/>. -- 8.7 Seguridad en Ingeniería del Software <br/>. -- 8.8 Bibliografía y Fuentes de Información <br/>. -- 8.9 Conclusiones <br/>. -- Capítulo 9. Glosario de Términos 
<br/><br/><label>Subjects--Topical Terms: </label><br/>INGENIERIA DE SISTEMAS
<br/><br/><label>Dewey Class. No.: </label>005.1.ORTE.00