Seg9: Pruebas de penetración de aplicaciones web

Fechas: del 21 de octubre al 1 de noviembre de 2019
Modalidad: Online
Horario: 14H00 - 18H00
Duración: 40 horas

Instructor: Ing. Luis Fabián Hurtado Vargas, MSc. icon

Resumen:

Las pruebas de penetración pueden ser automatizadas con aplicaciones de software, o se pueden realizar manualmente. De cualquier manera, el proceso incluye la recopilación de información sobre el objetivo antes de la prueba (reconocimiento), la identificación de posibles puntos de entrada, intentos de entrar (ya sea virtualmente o de manera real) y el reporte de los resultados.

Audiencia: Personas interesadas en conocer procedimientos y técnicas necesarias para realizar pruebas de penetración a aplicaciones web.

Requisitos Previos:

• Conocimientos de Inglés para la lectura.
• Conocimientos de administración avanzada de Linux: Instalación de paquetes, configuración de máquinas virtuales, configuración de la red, lectura de logs.
• El estudiante debe tener instalado un sistema de virtualización (VirtualBox o VMWare) para poder instalar sistema virtualizado para probar las herramientas y técnicas impartidas en el curso.

Características del curso:
• El curso tendrá una duración de 40 horas con actividades prácticas de laboratorio. 20 de estas horas serán de conferencia y 20 para realizar actividades orientadas por el instructor.
• El estudiante entregará avances del trabajo que realiza a través de la plataforma de educación virtual.

Competencias a Desarrollar:
• Conocer tipos de pruebas a realizarse a aplicaciones web, conocer y utilizar herramientas para realizar estas pruebas.

Contenidos:

Seguridad en aplicaciones web
1.1. Ciclo de desarrollo seguro
1.2. OWASP
1.3. Arquitecturas y tecnologías de aplicaciones web
1.4. Cifrado simétrico, algoritmos de cifrado asimétrico, las funciones hash criptográficas, MAC, firmas digitales, certificados digitales y SSL / TLS
1.5. Esquemas de codificación
Reconocimiento y escaneo

Metodologías de pruebas de penetración
2.2. Herramientas de reconocimiento y escaneo
2.3. Navegadores web
2.4. Proxies de interceptación
2.5. Web spiders
2.6. Fuzzers
2.7. Analizadores de vulnerabilidades
2.8. Levantamiento de información de direcciones públicas
2.9. Google hacking
2.10. Detección de hosts virtuales
2.11. Actividades

Análisis de los mecanismos de autenticación
3.1. Tecnologías de autenticación en aplicaciones web
3.2. Descubrimiento de vulnerabilidades y exploración
3.3. Transporte inseguro de credenciales
3.4. Autenticación con factores múltiples
3.5. Ataques de fuerza bruta
3.6. Ataques de diccionario
3.7. Ingeniería social
3.8. Actividades

Análisis de la gestión de sesiones
4.1. Descubrimiento de vulnerabilidades y exploración
4.2. Manipulación de sesiones
4.3. Sesiones simultaneas de un mismo usuario
4.4. Coss site request forgery
4.5. Clickjacking
4.6. Contramedidas
4.7. Actividades

Cross Site Scripting XSS
5.1. Tipos de Cross Site Scripting XSS
5.2. Gusanos basados en XSS
5.3. Descubrimiento de vulnerabilidades y exploración
5.4. Obtención de sesiones mediante XSS
5.5. Evasión de filtros
5.6. Contramedidas
5.7. Actividades

Inyección SQL
6.1. Descubrimiento de vulnerabilidades y exploración
6.2. Pruebas básicas
6.3. Extracción de datos mediante sentencias UNION
6.4. Manipulación de archivos
6.5. Evasión de filtros
6.6. Herramientas de explotación
6.7. Contramedidas
6.8. Actividades

Costo Miembros : 250 + IVA
Costo No miembros: 290 + IVA
Información extra: Se entrega certificado de aprobación por 40 horas una vez finalizado el curso.
Canjeables por cupos: SI

Descripción del evento

Inicio 21-10-2019 2:00 pm
Clausura 01-11-2019 6:00 pm
Apertura Inscripción 26-09-2019
Capacidad 30
Cierre inscripción 28-10-2019
Cuota $250+IVA(miembros), $290+IVA(no miembros)
Categorias de Eventos Seguridad,ESR,Online