Universidad Nacional Abierta y a Distancia

Vicerrectoría Académica y de Investigación

Syllabus del curso Seguridad en Aplicaciones Web, Código 233008

1. Datos del curso

Unidad a la que pertenece el curso: Escuela de Ciencias Básicas Tecnología

e Ingeniería ECBTI

Nivel de formación: Especialización Campo de formación: Disciplinar

Número de Créditos: 2 Tipología de Curso: Metodológico

Docente que diseña el curso: Anívar

El curso No se puede habilitar
Chaves Torres

Docente que actualiza el curso: Yenny Stella Núñez Álvarez

Fecha de elaboración del curso: Fecha de actualización del curso:

jueves, 4 de abril de 2019 viernes, 19 de febrero de 2021

El curso de Seguridad en Aplicaciones Web adscrito a la Escuela de Ciencias Básicas

Tecnología e Ingeniería de la UNAD y corresponde al programa de Especialización en
Seguridad Informática, orientado en modalidad virtual. Pertenece al componente de
aplicaciones especializadas.
Los contenidos y las actividades de evaluación propuestos en el curso , ayudaran al
estudiante a evaluar las vulnerabilidades más comunes en las aplicaciones Web, con
el fin, de estimar el nivel de seguridad de las mismas, haciendo uso de técnicas y
herramientas de pentesting que le permitirán diseñar estrategias para mejoramiento
de seguridad y disminuir los riesgos asociados.
El curso de Seguridad en Aplicaciones Web es de tipo metodológico y consta de dos
(2) créditos y la estrategia a implementar será el aprendizaje basado en Tareas. El
contenido académico está dividido en dos (2) unidades y se llevara a cabo en un
periodo de 16 semanas.

1
Unidad 1 - Protocolos, Vulnerabilidades y ataques
Descripción: Esta unidad aborda los temas de protocolos web, la seguridad Web, las
vulnerabilidades y riesgos comunes en las aplicaciones Web y los tipos de ataques que
se presentan en la Web.

Unidad 2 - Evaluar y mejorar la seguridad web

Descripción: esta unidad aborda los temas de evaluación y mejoramiento de la

seguridad de las aplicaciones Web, a partir del uso de técnicas y herramientas que
ayudan a la detección vulnerabilidades y a la prevención de riesgos y amenazas
asociadas.

Propósito de formación:

El propósito de formación del curso es el siguiente:

• Desarrollar en el estudiante competencias en la formulación de estrategias,
planes de protección y prevención para el mejoramiento de la Ciberseguridad
en las aplicaciones Web con base en la evaluación de vulnerabilidades y la
aplicación de principios, técnicas y herramientas de seguridad informática.

2. Resultados de aprendizaje

Al finalizar el curso académico el estudiante estará en la capacidad de evidenciar:

Resultado de aprendizaje 1: Analizar las vulnerabilidades y amenazas más

comunes en las aplicaciones Web, definiendo el nivel de riesgo asociado, y la
aplicación de protocolos de seguridad web.

Resultado de aprendizaje 2: Evaluar la seguridad web haciendo uso de técnicas y

herramientas de pentesting para explotar vulnerabilidades, con el fin de elaborar
estrategias de seguridad que ayuden a la prevención, reducción y mitigación de
posibles ataques informáticos en las aplicaciones web.

2
 1. Estrategia de aprendizaje:

La estrategia de aprendizaje del curso es: Aprendizaje Basado en Problemas -

ABP

Esta estrategia consiste en: presentar una situación problema al estudiante el cual
desarrollará las competencias necesarias para identificar, proponer y generar una
alternativa de solución al mismo, a través del trabajo individual y colaborativo.

La estrategia de aprendizaje se organiza en 5 Fases

• Fase 1 - Reconocimiento de la seguridad en aplicaciones Web

• Fase 2 - Análisis de Protocolos y vulnerabilidades web
• Fase 3 - Evaluación y mejoramiento de la seguridad web
• Fase 4 - Explotación de vulnerabilidades web
• Fase 5 - Elaboración de estrategias de seguridad web

2. Contenidos y referentes bibliográficos del curso

Unidad 1 - Protocolos, Vulnerabilidades y ataques

En esta unidad se abordarán los siguientes contenidos:

• Protocolos web y seguridad de las aplicaciones Web

• Las vulnerabilidades, riesgos y amenazas que se presentan en las aplicaciones
Web

Para abordar los contenidos se requiere consultar los siguientes referentes

bibliográficos:

Tema: Protocolos web y seguridad de las aplicaciones Web

• González, Lorena y García, José María. (2014). Sistemas seguros de acceso y

transmisión de datos (MF0489_3), IC Editorial, ProQuest Ebook Central. 157 –
191. https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/44100?page=157

3
 • Escrivá, Gema; Romero Rosa; Ramada, David y Onrubia, Ramón. (2013).
Seguridad informática, Macmillan Iberia, S.A. ProQuest Ebook Central. 175 –
179. https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/43260?page=175
Tema: Las vulnerabilidades, riesgos y amenazas que se presentan en las
aplicaciones Web

• OWASP. (2017). OWASP Top 10. Los diez riesgos más críticos en Aplicaciones
Web. 1 – 25. https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
• Diaz, Gabriel. (2014). Procesos y herramientas para la seguridad en redes.
Tema 4. Métodos de ataque a equipos y redes. 86 – 124. https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/48736?page=86

OVI - Unidad 1 – Métodos de ataques cibernéticos en Aplicaciones Web

• Yenny, N. Á. (2021). Métodos de ataques cibernéticos en Aplicaciones Web.

https://repository.unad.edu.co/handle/10596/39167.

Unidad 2 - Evaluar y mejorar la seguridad web

En esta unidad se abordarán los siguientes contenidos:

• Evaluación y mejoramiento de la seguridad de las aplicaciones Web

• Técnicas y herramientas para la detección vulnerabilidades y estrategias para
la prevención de riesgos y amenazas

Para abordar los contenidos se requiere consultar los siguientes referentes

bibliográficos:

Tema: Evaluación y mejoramiento de la seguridad de las aplicaciones Web

• Chicano, T. E. (2014). Auditoría de seguridad informática (MF0487_3). Cap. 4.

Uso de herramientas para la auditoría de sistemas. 189 – 221. Madrid,
ESPAÑA: IC Editorial. https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/44136?page=189

4
 • Ortega Candel, J. M. (2018). Seguridad en aplicaciones Web Java.Cap.4
seguridad en aplicaciones web. 160-191. RA-MA Editorial. https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/106511
• Zambrano, A., Guarda, T., Valenzuela, E. V. H., & Quiña, G. N. (2019).
Técnicas de mitigación para principales vulnerabilidades de seguridad en
aplicaciones web. Revista Ibérica De Sistemas e Tecnologias De Informação.
299-308. https://www-proquest-
com.bibliotecavirtual.unad.edu.co/docview/2195121633?accountid=48784

Tema: Técnicas y herramientas para la detección vulnerabilidades y a la

prevención de riesgos y amenazas

• Romero Castro, M., Figueroa Moràn, G., Vera Navarrete, D., Álava Cruzatty, J.,
Parrales Anzúles, G., Álava Mero, C., . . . Castillo Merino, M. (2018). Introducción
a la seguridad informática y el análisis de vulnerabilidades . 41 – 118.
https://www.3ciencias.com/wp-content/uploads/2018/10/Seguridad-
inform%C3%A1tica.pdf
• Diaz, Gabriel. (2014). Procesos y herramientas para la seguridad en redes. Tema
4. Métodos de ataque a equipos y redes. 85 – 124. https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/48736?page=85
• OWASP. (2008). Guía de Pruebas OWASP . 53 – 185. https://owasp.org/www-
pdf-archive/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf

3. Organización de las actividades académicas por semanas y Plan de

Evaluación del curso
Momento inicial

Fase 1 - Reconocimiento de la seguridad en aplicaciones Web

Se desarrolla entre la semana 1 y la semana 2

Responde al resultado de aprendizaje 1

La actividad es: Consultar sobre los proyectos OWASP y DVWA, y la distribución Kali
Linux y su asociación con la seguridad en las aplicaciones web.
5
Evaluación del momento inicial

Los criterios con los que será evaluado son:

• Forma: Construye documento usando la norma NTC 1486 para la presentación

de trabajos académicos y norma NTC 6166 para el uso de referencias
bibliográficas.

• Contenido: Consulta sobre los proyectos OWASP y DVWA, y la distribución

Kali Linux y su asociación con la seguridad en las aplicaciones web

La valoración máxima de esta actividad es de 25 puntos, equivalente al 5% de la

evaluación del curso.

Momento intermedio

Fase 2 - Análisis de Protocolos y vulnerabilidades web

Se desarrolla entre la semana 3 y la semana 5

Responde al resultado de aprendizaje 1

La actividad es:
• Describe el funcionamiento de los protocolos web y la seguridad en la Web e
identifica las vulnerabilidades y los tipos de ataques que se presentan en las
aplicaciones Web.

Evaluación de la Fase 2:

Los criterios con los que será evaluado son:

• Forma: Construye documento usando la norma NTC 1486 para la presentación

de trabajos académicos y norma NTC 6166 para el uso de referencias
bibliográficas. No superando en validación de similitud de contenido 15%.

• Contenido: Describe el funcionamiento de los protocolos web y la seguridad

en la Web e identifica las vulnerabilidades y los tipos de ataques que se
presentan en las aplicaciones Web.

6
 • Participación: Interactúa en el foro con argumentos soportados en referentes
bibliográficos y a su vez dinamizan el debate al interior del grupo colaborativo.

La valoración máxima de esta actividad es de 90 puntos.

Fase 3 - Evaluación y mejoramiento de la seguridad web

Se desarrolla entre la semana 6 y la semana 9

Responde al resultado de aprendizaje 2

La actividad es:
• Evalúa las vulnerabilidades más comunes en las aplicaciones Web e investiga
sobre las técnicas y herramientas más utilizadas para la detección de amenazas
y propone estrategias para prevenir riesgos en este tipo de aplicaciones.

Evaluación la Fases 3:
Los criterios con los que será evaluado son:

• Forma: Construye documento usando la norma NTC 1486 para la presentación

de trabajos académicos y norma NTC 6166 para el uso de referencias
bibliográficas. No superando en validación de similitud de contenido 15 %.

• Contenido: Evalúa las vulnerabilidades más comunes en las aplicaciones Web e

investiga sobre las técnicas y herramientas más utilizadas para la detección de
amenazas y propone estrategias para prevenir riesgos en este tipo de
aplicaciones.

• Participación: Interactúa en el foro con argumentos soportados en referentes

bibliográficos y a su vez dinamizan el debate al interior del grupo colaborativo.

La valoración máxima de esta actividad es de 110 puntos.

Fase 4 - Explotación de vulnerabilidades web

Se desarrolla entre la semana 10 y la semana 14

Responde al resultado de aprendizaje 2

La actividad es:
7
 • Realiza las pruebas de penetración desde Kali Linux al servidor Web sin el
firewall y luego con el Web Application Firewall WAF instalado, donde analiza
y contrasta los resultados obtenidos sobre el ambiente web simulado.

Evaluación la Fases 4:
Los criterios con los que será evaluado son:

• Forma: Construye documento usando la norma NTC 1486 para la presentación

de trabajos académicos y norma NTC 6166 para el uso de referencias
bibliográficas. No superando en validación de similitud de contenido 15 %.

• Contenido: Consolida el informe de laboratorio con sus aportes en el foro, la

simulación del ambiente web con el uso de la tecnología sugerida y los
resultados son acordes a las actividades planteadas en el componente práctico.

• Participación: Interactúa en el foro con argumentos soportados en referentes

bibliográficos y a su vez dinamizan el debate al interior del grupo colaborativo.

• Procedimiento: Realiza las pruebas de penetración desde Kali Linux al servidor

Web sin el firewall y luego con el Web Application Firewall WAF instalado,
donde analiza y contrasta los resultados obtenidos sobre el ambiente web
simulado.

La valoración máxima de esta actividad es de 150 puntos.

Momento final

Fase 5 - Elaboración de estrategias de seguridad web

Se desarrolla entre la semana 15 y la semana 16

Responde al resultado de aprendizaje 2

La actividad es:
• Elabora estrategias de seguridad tomando como referente el Top 10 de Owasp
(2019) e integrando lo realizado en las fases anteriores, estableciendo los
mejores mecanismos y medidas de protección para enfrentar los ataques a los
que se ve expuestas las aplicaciones web.

8
Evaluación la Fase 5:
Los criterios con los que será evaluado son:

• Forma: Socializa mediante un vídeo usando la plantilla de presentación

institucional y teniendo la norma NTC 1486 en la presentación de trabajos
académicos, norma NTC 6166 para el uso de referencias bibliográficas y las
recomendaciones entregadas en la guía de la actividad.

• Contenido: Elabora estrategias de seguridad tomando como referente el Top 10

de Owasp (2019) e integrando lo realizado en las fases anteriores ,
estableciendo los mejores mecanismos y medidas de protección para enfrentar
los ataques a los que se ve expuestas las aplicaciones web.

La valoración total de este momento es de 125 puntos, equivalente al 25% de la

evaluación del curso.

4. Estrategias de acompañamiento docente

Para desarrollar las actividades del curso usted contará con el acompañamiento del
docente. Los espacios en los cuales usted tendrá interacciones con su docente son los
siguientes:

• Correo en campus virtual

• Foros en campus virtual
• Sesiones de chat en skype
• Sesiones de conferencia en línea o webconference