Curso· Cargando…
Aprende a defender tu app web sin ser experto en seguridad. Piensas como atacante para encontrar las vulnerabilidades del OWASP Top 10, montas las defensas que cubren el 80 % de los ataques reales (parametrizar consultas, escapar salidas, CSP, tokens CSRF, contraseñas y secretos bien guardados) y endureces el despliegue con cabeceras, rate limiting, CORS y control de dependencias. Cierras auditando una app deliberadamente vulnerable y dejándola lista para producción, con un informe before/after en tu repo.
¿Por dónde me van a atacar y cómo lo evito sin ser experto en seguridad, antes de exponer mi app al mundo?
Eres el dev responsable de la seguridad de tu propio servicio, a punto de exponerlo a usuarios reales y a un futuro pentest.. Vas a publicar tu app al mundo y tienes que responder por su seguridad. Partes de la app deliberadamente vulnerable del project_spine y debes dejarla lista para producción sin agujeros conocidos del OWASP Top 10, demostrando cada corrección.
Analizar la app de ejemplo para localizar un control de acceso roto (IDOR) cambiando un identificador en la URL y explicar por qué el servidor lo permite.
Clasificar las amenazas de una app según las 10 categorías del OWASP Top 10:2025 para saber qué buscar y dónde antes de exponerla.
Entregas: Informe de auditoría OWASP de la app (vulnerabilidades encontradas, con evidencia y severidad, + la corrección aplicada y el commit que la arregla) acompañado de un checklist de despliegue seguro cumplido; todo en un repo de GitHub con el before/after demostrable.
Se evalúa
El mapa de amenazas (OWASP Top 10)
Las defensas que cubren el 80 %
Endurecer y auditar
Analizar dónde falta autorización en el servidor (IDOR, deny-by-default) y distinguir con claridad autenticación de autorización.