Las pruebas de penetración pueden ser automatizadas con aplicaciones de software, o se pueden realizar manualmente. De cualquier manera, el proceso incluye la recopilación de información sobre el objetivo antes de la prueba (reconocimiento), la identificación de posibles puntos de entrada, intentos de entrar (ya sea virtualmente o de manera real) y el reporte de los resultados.
Audiencia:
Personas interesadas en conocer procedimientos y técnicas necesarias para realizar pruebas de penetración a aplicaciones web.
Objetivo General:
Describir los elementos necesarios y útiles en la operación de un equipo de respuesta a incidentes informáticos..
Metodología y Evaluación:
Se hará uso del método constructivista, partiendo de la revisión de los conocimientos previos de los estudiantes para proceder a la construcción de nuevos conocimientos a partir del uso de estrategias metodológicas dinámicas (aprendizaje basado en problemas, trabajo colaborativo, método de casos, aprendizaje por proyectos, entre otros), libros, videos y espacios para la comunicación como foros, mensajes.
Requisitos previos:
• Conocimientos de Inglés para la lectura.
• Conocimientos de administración avanzada de Linux: Instalación de paquetes, configuración de máquinas virtuales, configuración de la red, lectura de logs.
• El estudiante debe tener instalado un sistema de virtualización (VirtualBox o VMWare) para poder instalar sistema virtualizado para probar las herramientas y técnicas impartidas en el curso.
Características del curso:
• El curso tendrá una duración de 40 horas con actividades prácticas de laboratorio. 20 de estas horas serán de conferencia y 20 para realizar actividades orientadas por el instructor.
• El estudiante entregará avances del trabajo que realiza a través de la plataforma de educación virtual
Competencias a Desarrollar:
Conocer tipos de pruebas a realizarse a aplicaciones web, conocer y utilizar herramientas para realizar estas pruebas.
Información extra: Se entrega certificado de aprobación por 40 Horas una vez finalizado el curso.
Canjeables por cupos: SI
Seguridad en aplicaciones web
• Ciclo de desarrollo seguro
• OWASP
• Arquitecturas y tecnologías de aplicaciones web
• Cifrado simétrico, algoritmos de cifrado asimétrico, las funciones hash criptográficas, MAC, firmas digitales, certificados digitales y SSL / TLS
• Esquemas de codificación
• Reconocimiento y escaneo
Metodologías de pruebas de penetración
• Herramientas de reconocimiento y escaneo
• Navegadores web
• Proxies de interceptación
• Web spiders
• Fuzzers
• Analizadores de vulnerabilidades
• Levantamiento de información de direcciones públicas
• Google hacking
• Detección de hosts virtuales
• Actividades
Análisis de los mecanismos de autenticación
• Tecnologías de autenticación en aplicaciones web
• Descubrimiento de vulnerabilidades y exploración
• Transporte inseguro de credenciales
• Autenticación con factores múltiples
• Ataques de fuerza bruta
• Ataques de diccionario
• Ingeniería social
• Actividades
Análisis de la gestión de sesiones
• Descubrimiento de vulnerabilidades y exploración
• Manipulación de sesiones
• Sesiones simultaneas de un mismo usuario
• Coss site request forgery
• Clickjacking
• Contramedidas
• Actividades
Cross Site Scripting XSS
• Tipos de Cross Site Scripting XSS
• Gusanos basados en XSS
• Descubrimiento de vulnerabilidades y exploración
• Obtención de sesiones mediante XSS
• Evasión de filtros
• Contramedidas
• Actividades
Inyección SQL
• Descubrimiento de vulnerabilidades y exploración
• Pruebas básicas
• Extracción de datos mediante sentencias UNION
• Manipulación de archivos
• Evasión de filtros
• Herramientas de explotación
• Contramedidas
• Actividades