Login Register

Secure Developer Java (Inc OWASP) - michel-1cok-20250708-050755

1 video • 📅 2025-07-07 10:00:00 America/Mexico_City

2025-07-07 15:07:55

Visit the Secure Developer Java (Inc OWASP) course recordings page

                WEBVTT

00:00:03.820 --> 00:00:24.110
Ya andan los dos por acá, ¿verdad?

00:00:27.360 --> 00:00:28.000
Perfecto

00:00:28.000 --> 00:00:30.500
Pues esta segunda parte

00:00:30.500 --> 00:00:32.440
Vamos a estar trabajando

00:00:32.440 --> 00:00:34.480
En los laboratorios

00:00:34.480 --> 00:00:36.300
Ustedes su pantalla como

00:00:36.300 --> 00:00:37.440
¿Qué es lo que ven en su pantalla?

00:00:37.700 --> 00:00:39.680
Ven literalmente nada más su computadora, ¿verdad?

00:00:39.720 --> 00:00:41.720
Yo estoy viendo ambas

00:00:41.720 --> 00:00:43.900
La del trainer y la mía

00:00:43.900 --> 00:00:47.800
Todos ven lo mismo, ¿verdad?

00:00:48.320 --> 00:00:49.720
La mía y la de

00:00:49.720 --> 00:00:52.140
Y obviamente la que cada uno de ustedes tiene

00:00:52.140 --> 00:00:55.060
En esta máquina

00:00:55.060 --> 00:01:10.780
en esta máquina que tenemos es un ubuntu 24 se instalaron ya compiladores java y todas

00:01:10.780 --> 00:01:17.180
las herramientas necesarias para poder realizar las actividades si ustedes se van como pueden

00:01:17.180 --> 00:01:22.840
ver en mi computadora al menú van a poder ver diferentes herramientas que ustedes van a poder

00:01:22.840 --> 00:01:30.400
utilizar aquí les instale varias herramientas ahora sí con el propósito de que utilicen la

00:01:30.400 --> 00:01:40.480
que las que ustedes se sientan más a gusto de utilizar por ejemplo en la parte de programación

00:01:40.480 --> 00:01:49.560
van a poder ver dos ides que están instalados en este caso intel y idea de la versión community

00:01:49.560 --> 00:01:51.960
Y también está Visual Studio Code.

00:01:54.580 --> 00:02:00.660
Ya Visual Studio Code tiene implementado, bueno, tiene habilitados también todos los plugins de Java

00:02:00.660 --> 00:02:04.900
para poder realizar las adecuaciones en los proyectos.

00:02:08.040 --> 00:02:13.040
Y lo que vamos a hacer es que vamos a abrir la carpeta que se llama Oplow Files.

00:02:14.580 --> 00:02:19.720
Dentro de esa carpeta hay tres archivos que ya están ahí cargados.

00:02:19.720 --> 00:02:34.860
Cada uno de estos son laboratorios diferentes. Si abrimos el de laboratorio 1, lo que van a encontrar van a ser las instrucciones de las actividades que vamos a ir haciendo.

00:02:34.860 --> 00:02:40.180
algunas actividades, la mayoría de las actividades las van a ver muy sencillas

00:02:40.180 --> 00:02:42.140
especialmente en el laboratorio 1

00:02:42.140 --> 00:02:45.060
es simplemente para que se vayan ustedes adecuando

00:02:45.060 --> 00:02:47.560
en cómo vamos a estar trabajando

00:02:47.560 --> 00:02:53.250
las actividades que ya íbamos a ir viendo en el laboratorio 2 y el laboratorio 3

00:02:53.250 --> 00:02:57.710
van a ser un poco más complejas

00:02:57.710 --> 00:03:01.970
si nos da tiempo, armaremos un proyecto Java completo

00:03:01.970 --> 00:03:05.870
que contenga básicamente todas las vulnerabilidades

00:03:05.870 --> 00:03:17.810
En este primer laboratorio 1, la idea es trabajar un poco con las vulnerabilidades que vimos en el mañana, con las vulnerabilidades de la categoría 1 de WASH, la categoría 2 y categoría 3.

00:03:17.810 --> 00:03:36.290
El objetivo del laboratorio es que está identificado para que ustedes puedan identificar y explotar vulnerabilidades reales en una aplicación Java Spring Boot y posteriormente que ustedes las corrijan aplicando buenas prácticas y controles de seguridad.

00:03:36.290 --> 00:03:53.290
Pueden utilizar recursos, ahora sí que tengan en internet o demás, para poder realizar las pruebas. Nada de esto son exámenes, entonces la idea es que más bien empiecen a familiarizarse.

00:03:53.290 --> 00:04:10.270
Dentro de cada una de sus carpetas raíz de usuario van a poder encontrar la carpeta Secure Java Labs, que son la carpeta en donde van a estar cada uno de los proyectos de Spring Boot.

00:04:10.270 --> 00:04:19.930
Lo pueden manejar a nivel de la terminal o lo pueden manejar directamente con alguno de los IDE.

00:04:19.930 --> 00:04:26.290
en el documento ustedes pueden encontrar la ubicación del proyecto, dejé algunos comandos

00:04:26.290 --> 00:04:35.010
para compilar si es que lo quieren hacer desde la terminal, las instrucciones de a qué rutas

00:04:35.010 --> 00:04:45.170
ingresar en el navegador y qué es lo que vamos a ir viendo. Entonces, si gustan, vayan iniciando

00:04:45.170 --> 00:04:50.190
con las instrucciones que estamos viendo en el laboratorio 1

00:04:50.190 --> 00:04:54.510
y las vamos a ir aquí analizando entre los cuatro.

00:04:55.050 --> 00:04:58.770
Cualquier duda que tengan, con mucho gusto los micrófonos están abiertos

00:04:58.770 --> 00:05:01.490
y lo podamos ir checando.

00:05:01.490 --> 00:05:06.950
Lo primero que van a hacer es tratar de explotar las vulnerabilidades de Broken Access Control

00:05:06.950 --> 00:05:15.810
para poder, en este caso, brincar el acceso a través de la URL,

00:05:16.150 --> 00:05:18.690
como lo estuvimos nosotros analizando.

00:05:19.210 --> 00:05:24.330
Posteriormente, generar algunos tokens inseguros, hashes inseguros,

00:05:25.330 --> 00:05:28.530
crear inyecciones de SQL a una base de datos,

00:05:29.210 --> 00:05:32.630
hacer una inyección de XSS que se vea reflejado

00:05:32.630 --> 00:05:36.930
y que ustedes vean qué es lo que provoca el cross-eye scripting.

00:05:36.950 --> 00:05:56.370
Y posteriormente, la corrección de estas vulnerabilidades, en la que se pueda agregar el Spring Security, proteger el endpoint con algunas anotaciones correspondientes, configurar los roles en memoria, cómo vamos a corregir los fallos criptográficos y también las inyecciones.

00:05:57.470 --> 00:05:59.190
¿Tienen alguna duda, pregunta?

00:06:01.820 --> 00:06:03.240
Yo no, se ve muy padre.

00:06:04.520 --> 00:06:07.480
Sí, pues si gustan, vamos a arrancar.

00:06:08.620 --> 00:06:18.080
Y cualquier duda, pregunta que tengan, de todas formas, yo dejo aquí mi micrófono abierto y pues igual lo vamos resolviendo.

00:06:21.910 --> 00:06:25.270
Ahora sí que los archivos los hice así para que ustedes empiecen a moverle.

00:06:25.870 --> 00:06:27.370
Aquí no hay de que nos equivoquemos.

00:06:27.790 --> 00:06:28.930
Ahí están las instrucciones.

00:06:29.330 --> 00:06:37.290
Pueden ejecutar toda la línea de comandos o si quieren abrir los IDEs, adelante, si es necesario que se instale algo adicional.

00:06:37.290 --> 00:06:39.970
Con mucho gusto vemos cómo lo instalamos.

00:06:39.990 --> 00:06:42.530
ahora sí que

00:06:42.530 --> 00:06:46.010
a la hora que ustedes gusten

00:06:46.010 --> 00:06:47.050
arrancar

00:06:47.050 --> 00:06:49.310
yo de todas formas puedo ver

00:06:49.310 --> 00:06:51.290
lo que cada uno de ustedes va haciendo

00:06:51.290 --> 00:06:52.890
en su máquina

00:06:52.890 --> 00:06:54.570
así que estaré viendo

00:06:54.570 --> 00:06:56.030
como le van moviendo

00:06:56.030 --> 00:06:57.610
para ver si en algo se atoran

00:06:57.610 --> 00:06:58.610
pues poderlo

00:06:58.610 --> 00:06:58.930
gracias