Curso Virtual de Hacking Aplicaciones Web
Upcoming SlideShare
Loading in...5
×
 

Curso Virtual de Hacking Aplicaciones Web

on

  • 4,197 views

Las pruebas de seguridad a las Aplicaciones Web son extremadamente importantes, pero por contraste algunas veces las más ausentes. En el presente curso el participante aprenderá la metodología para ...

Las pruebas de seguridad a las Aplicaciones Web son extremadamente importantes, pero por contraste algunas veces las más ausentes. En el presente curso el participante aprenderá la metodología para realizar las pruebas, configurar y utilizar las herramientas para realizar pruebas de seguridad web satisfactorias. Comprender como se realiza la comunicación entre todas las partes involucradas en una Aplicación Web. Seleccionar y utilizar los diferentes métodos y técnicas para realizar los ataques más comunes, como por ejemplo SQL Injection (SQLi), Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), entre otros. Se realizará una revisión al Top 10 de OWASP (The Open Web Application Security Project) con ejemplos prácticos.

Statistics

Views

Total Views
4,197
Views on SlideShare
1,452
Embed Views
2,745

Actions

Likes
1
Downloads
33
Comments
0

4 Embeds 2,745

http://www.reydes.com 2741
http://webcache.googleusercontent.com 2
https://twitter.com 1
http://reydes.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Curso Virtual de Hacking Aplicaciones Web Curso Virtual de Hacking Aplicaciones Web Document Transcript

  • Alonso Eduardo Caballero Quezada Consultor en Hacking Ético & Informática Forense Último Curso del Año 2014 Curso Virtual Hacking Aplicaciones Web Grupo 1: Sábados 1, 8, 15 y 22 de Noviembre del 2014 Grupo 2: Domingos 2, 9, 16 y 23 de Noviembre del 2014 De 9:00am a 12:30m (UTC -05:00) Este curso ha sido dictado a participantes residentes en los siguientes países: 1. Presentación: Las Aplicaciones Web son en la actualidad el principal punto vulnerable para casi todas las organizaciones. Los agujeros, fallas y malas configuraciones en estas provocan el robo de millones de tarjetas de crédito, datos personales críticos, daño financiero y de reputación en cientos de empresas. En este curso se aprenderá el arte de explotar Aplicaciones Web de tal manera que se puedan encontrar sus fallas antes de que los chicos malos lo hagan. Todo se realizada con ejercicios prácticos, para aprender y comprender las técnicas con herramientas que utilizan los atacantes, mediante un proceso de cuatro fases para realizar una Prueba de Penetración a las Aplicaciones Web. 2. Objetivo Las pruebas de seguridad a las Aplicaciones Web son extremadamente importantes, pero por contraste algunas veces las más ausentes. En el presente curso el participante aprenderá la metodología para realizar las pruebas, configurar y utilizar las herramientas para realizar pruebas de seguridad web satisfactorias. Comprender como se realiza la comunicación entre todas las partes involucradas en una Aplicación Web. Seleccionar y utilizar los diferentes métodos y técnicas para realizar los ataques más comunes, como por ejemplo SQL Injection (SQLi), Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), entre otros. Se realizará una revisión al Top 10 de OWASP (The Open Web Application Security Project) con ejemplos prácticos. Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Teléfono: 949304030 -:- @Alonso_ReYDeS
  • Alonso Eduardo Caballero Quezada Consultor en Hacking Ético & Informática Forense 3. Temario: • ¿Qué es una Aplicación Web? • Introducción a la Seguridad de Aplicaciones Web • Pruebas de Penetración a una Aplicación Web • Tipos de Pruebas de Penetración • Metodología de una Prueba de Penetración • Técnicas de Explotación a Aplicaciones Web • Herramientas de Análisis Automáticas • Revisión del Código Fuente • OWASP • Samurai WTF • Tecnologías en Aplicaciones Web • Identificar la Infraestructura • Identificar las Máquinas y S.O. • Infraestructuras Intermedias • Explorar Fuentes de Información Externas • Google Hacking • Spidering a una Aplicación Web • Proxy de Interceptación • Descubrir Contenido Oculto • Analizar la Aplicación Web • Mapear la Superficie de Ataque • Descubrimiento • Escaneo Automático • Escaneo con Nikto2 • Información de las Cabeceras • Escaneo Automático con ZAP • Descubrimiento Manual • Pruebas de Autenticación • Pruebas de Manejo de Sesión • OWASP TOP 10 2013 • Clasificación de Amenazas WASC • CWE/SANS TOP 25 2011 • Vulnerabilidades Más Comunes en Aplicaciones Web • Ataques por Fuerza Bruta, Ejecución de Comandos del Sistema Operativo, Inclusión Remota de Archivos (RFI), Inclusión Local de Archivos, Recorrido de Ruta, Cross Site Request Forgery (CSRF), Subir Archivos, Cross Site Scripting (XSS), Inyección SQL, Inyección SQL Ciega. Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Teléfono: 949304030 -:- @Alonso_ReYDeS
  • Alonso Eduardo Caballero Quezada Consultor en Hacking Ético & Informática Forense 4. Material: Todos los participantes al Curso Virtual de Hacking Aplicaciones Web, recibirán las diapositivas en formato PDF utilizadas por el Instructor del Curso y un Documento formato PDF conteniendo todas las Prácticas desarrolladas del Curso. Se sugiere además que el participante tenga instaladas y configuradas las siguientes máquinas virtuales, para desarrollar el Curso. • Samurai Web Testing Framework Nombre del Archivo: SamuraiWTF-2.0-i386.iso Link de Descarga: http://sourceforge.net/projects/samurai/files/SamuraiWTF %202.0%20Branch/ • Owasp Broken Web Applications Project Nombre del Archivo: OWASP_Broken_Web_Apps_VM_1.1.1.zip Link de Descarga: http://sourceforge.net/projects/owaspbwa/files/1.1.1/ • • Máquina Virtual Metasploitable. Nombre del Archivo: Metasploitable-05-2010.zip Link de Descarga: http://sourceforge.net/projects/virtualhacking/files/os/metasploitable/ [*] Si el participante lo requiere, se le puede enviar dos (2) DVDs conteniendo todas las máquinas virtuales utilizadas en el Curso, además de un conjunto de herramientas para Sistemas Windows y GNU/Linux, añadiendo S/. 40 soles por el concepto de gastos de envío a cualquier lugar del Perú. 5. Días y Horario: La duración total del Curso es de 15 horas, dividas en 4 clases de 3 horas y 30 minutos de duración. El Curso se dictará en 2 Grupos, para que usted pueda elegir el mejor día y horario. Grupo 1: Sábados 1, 8, 15 y 22 de Noviembre del 2014 Grupo 2: Domingos 2, 9, 16 y 23 de Noviembre del 2014 De 9:00am a 12:30m (UTC -05:00) [*] No habrá reprogramaciones. El Curso se dictará sin ningún requisito mínimo en el número de participantes. Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Teléfono: 949304030 -:- @Alonso_ReYDeS
  • Alonso Eduardo Caballero Quezada Consultor en Hacking Ético & Informática Forense 6. Inversión y Forma de Pago: El Curso tiene un costo de: S/. 320 Soles El pago del Curso se realiza mediante los siguientes mecanismos: Residentes en Perú Residentes en Otros Países Deposito Bancario en la siguiente cuenta: ScotiaBank Cuenta de Ahorros en Soles: 324-0003164 A nombre de: Alonso Eduardo Caballero Quezada También puede realizar el depósito en un Agente Scotiabank. Encuentre el más cercano utilizando la siguiente página: http://www.scotiabank.com.pe/forms/buscador_sc otiabank1.aspx Una vez realizado el depósito, enviar por favor el voucher escaneado o sencillamente detallar los datos al siguiente correo: caballero.alonso@gmail.com Transferencia de dinero mediante alguna de las siguientes empresas: Western Union: http://www.westernunion.com MoneyGram: https://www.moneygram.com Escribirme por favor un correo para brindarle los datos necesarios para realizar la transferencia. Una vez realizada la transferencia, enviar por favor los datos de esta, al siguiente correo: caballero.alonso@gmail.com Confirmado el depósito o la transferencia se enviará al correo electrónico del participante, los datos necesarios para conectarse al Sistema, además del material del Curso, para participar en el Curso. El Curso se dicta utilizando el sistema de Video Conferencias Anymeeting. El cual proporciona la transmisión de audio y video en tiempo real, tanto para el instructor como también para los participantes, entre otras características que lo hacen ideal para el dictado de Cursos de manera Virtual. http://www.anymeeting.com Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Teléfono: 949304030 -:- @Alonso_ReYDeS
  • Alonso Eduardo Caballero Quezada Consultor en Hacking Ético & Informática Forense 7. Más Información: Si desea mayor información sobre el Curso Virtual de Hacking Ético, tiene a su disposición los siguientes mecanismos de contacto: • Correo electrónico: caballero.alonso@gmail.com • Twitter: https://twitter.com/Alonso_ReYDeS • LinkedIn: http://pe.linkedin.com/in/alonsocaballeroquezada/ • Vía Web: http://www.reydes.com • Celular: (+51) 949304030 8. Sobre el Instructor: Alonso Eduardo Caballero Quezada es Brainbench Certified Network Security, Computer Forensics (U.S.) & Linux Administration (General), CNHE, CNCF, CNHAW, GIAC SSP-CNSA y Miembro de Open Web Application Security Project (OWASP). Cuenta con más de once años de experiencia en el área y desde hace seis años labora como Consultor e Instructor Independiente en las áreas de Hacking Ético & Informática Forense. Perteneció por muchos años al grupo internacional de Seguridad RareGaZz e integra actualmente el Grupo Peruano de Seguridad PeruSEC. Ha dictado cursos en Perú y Ecuador, presentándose también constantemente en exposiciones enfocadas a, Hacking Ético, Informática Forense, GNU/Linux y Software Libre. Su correo electrónico es ReYDeS@gmail.com y su página personal está en: http://www.ReYDeS.com Sitio Web: www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com -:- Teléfono: 949304030 -:- @Alonso_ReYDeS