SEG9: PRUEBAS DE PENETRACIÓN DE APLICACIONES WEB

  • $160 + IVA (miembros)

    $180 + IVA (no miembros)

  • Moodle / ZOOM

    Online

  • 30 estudiantes

    Capacidad

  • 40 Horas

    Duración

  • 19h00 a 21h00

    Lunes, martes, jueves

  • Moodle / ZOOM

    Online

  • 40 Horas

    Duración

  • Cualquier información puede contactarse a nuestro correo electrónicos en el siguiente link

Información

Las pruebas de penetración pueden ser automatizadas con aplicaciones de software, o se pueden realizar manualmente. De cualquier manera, el proceso incluye la recopilación de información sobre el objetivo antes de la prueba (reconocimiento), la identificación de posibles puntos de entrada, intentos de entrar (ya sea virtualmente o de manera real) y el reporte de los resultados.

Audiencia: Personas interesadas en conocer procedimientos y técnicas necesarias para realizar pruebas de penetración a aplicaciones web.

Objetivo General:
• Proveer a los alumnos el conocimiento, las herramientas, los recursos y las técnicas necesarias para entender los diferentes tipos de vulnerabilidades existentes en Aplicaciones Web y su explotación.
• Comprender las diferentes vulnerabilidades tanto en el aspecto teórico como práctico, a fin de poder identificarlas y proteger los activos de las amenazas aplicando las contramedidas adecuadas.
• Conocer las herramientas y técnicas utilizadas por profesionales en un entorno controlado con metodología de demostraciones en vivo.

Metodología y Evaluación
Se hará uso del método constructivista, partiendo de la revisión de los conocimientos previos de los estudiantes para proceder a la construcción de nuevos conocimientos a partir del uso de estrategias metodológicas dinámicas (aprendizaje basado en problemas, trabajo colaborativo, método de casos, aprendizaje por proyectos, entre otros), libros, videos y espacios para la comunicación como foros, mensajes.

Requisitos Previos:
• Conocimientos de Inglés para la lectura.
• Conocimientos de administración avanzada de Linux: Instalación de paquetes, configuración de máquinas virtuales, configuración de la red, lectura de logs.
• El estudiante debe tener instalado un sistema de virtualización (VirtualBox o VMWare) para poder instalar sistema virtualizado para probar las herramientas y técnicas impartidas en el curso.

Características del curso:
• El curso tendrá una duración de 40 horas con actividades prácticas de laboratorio. 20 de estas horas serán de conferencia y 20 para realizar actividades orientadas por el instructor.
• El estudiante entregará avances del trabajo que realiza a través de la plataforma de educación virtual.

Competencias a Desarrollar:
• Conocer tipos de pruebas a realizarse a aplicaciones web, conocer y utilizar herramientas para realizar estas pruebas.

Información extra: Se entrega certificado de aprobación por 40 horas una vez finalizado el curso.

Contenido

Seguridad en aplicaciones web
• Ciclo de desarrollo seguro
• OWASP
• Arquitecturas y tecnologías de aplicaciones web
• Cifrado simétrico, algoritmos de cifrado asimétrico, las funciones hash criptográficas, MAC, firmas digitales, certificados digitales y SSL / TLS
• Esquemas de codificación
Reconocimiento y escaneo

 

Metodologías de pruebas de penetración
• Herramientas de reconocimiento y escaneo
• Navegadores web
• Proxies de interceptación
• Web spiders
• Fuzzers
• Analizadores de vulnerabilidades
• Levantamiento de información de direcciones públicas
• Google hacking
• Detección de hosts virtuales
• Actividades

 

Análisis de los mecanismos de autenticación
• Tecnologías de autenticación en aplicaciones web
• Descubrimiento de vulnerabilidades y exploración
• Transporte inseguro de credenciales
• Autenticación con factores múltiples
• Ataques de fuerza bruta
• Ataques de diccionario
• Ingeniería social
• Actividades

 

Análisis de la gestión de sesiones
• Descubrimiento de vulnerabilidades y exploración
• Manipulación de sesiones
• Sesiones simultaneas de un mismo usuario
• Coss site request forgery
• Clickjacking
• Contramedidas
• Actividades

 

Cross Site Scripting XSS
• Tipos de Cross Site Scripting XSS
• Gusanos basados en XSS
• Descubrimiento de vulnerabilidades y exploración
• Obtención de sesiones mediante XSS
• Evasión de filtros
• Contramedidas
• Actividades

 

Inyección SQL
• Descubrimiento de vulnerabilidades y exploración
• Pruebas básicas
• Extracción de datos mediante sentencias UNION
• Manipulación de archivos
• Evasión de filtros
• Herramientas de explotación
• Contramedidas
• Actividades