Curso Virtual de Hacking Aplicaciones Web 2015

Alonso Eduardo Caballero Quezada / ReYDeSConsultor en Hacking Ético & Informática Forense

Grupo Sábado: 9, 16, 23 y 30 de Mayo del 2015

De 3:30pm a 7:15pm (UTC -05:00)

Grupo Domingo: 10, 17, 24 y 31 de Mayo del 2015

De 9:00am a 12:45pm (UTC -05:00)

Este curso virtual ha sido dictado a participantes residentes en los siguientes países:

1. Presentación:

Las Aplicaciones Web son en la actualidad el principal punto vulnerable para casi todas las organizaciones. Los agujeros, fallas y malas configuraciones en estas provocan el robo de millones de tarjetas de crédito, datos personales críticos, daño financiero y de reputación en cientos de empresas. En este curso se aprenderá el arte de explotar Aplicaciones Web con el propósito de encontrar sus fallas antes de que los chicos malos lo hagan. Todo se realiza con ejemplos prácticos, para aprender y comprender las técnicas con herramientas utilizadas por los atacantes, mediante un proceso de cuatro fases para realizar una Prueba de Penetración a las Aplicaciones Web.

2. Objetivo:

Las pruebas de seguridad a las Aplicaciones Web son extremadamente importantes, pero por contraste algunas veces las más ausentes. En el presente curso el participante aprenderá la metodología para realizar las pruebas, configurar y utilizar las herramientas para realizar pruebas de seguridad web satisfactorias. Comprender como se realiza la comunicación entre todas las partes involucradas en una Aplicación Web. Seleccionar y utilizar los diferentes métodos y técnicas para realizar los ataques más comunes, como por ejemplo SQL Injection (SQLi), Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), entre otros. Se realizará una revisión al Top 10 de OWASP con ejemplos prácticos.

Sitio Web: www.ReYDeS.com -:- e-mail: [email protected] -:- Teléfono: 949304030 -:- @Alonso_ReYDeS

Curso Virtual de Hacking Aplicaciones Web

2015


3. Temario:

• La Web • Pruebas de Penetración a Aplicaciones Web • Arquitectura del Servidor Web • Autenticación del Cliente y Rastreo de la Sessión • Métodos y Tipos de Pruebas de Penetración • Componentes de una Prueba de Penetración Web • Reportar los Hallazgos • Metodología de Ataque • Tipos de Fallas • Reconocimiento • Consultas Whois y DNS• Fuentes de Información Externa • Google Hacking • Mapeo • Escaneo de Puertos, SO, Versiones • Evaluar SSL • Infraestructuras Intermedias • Configuración del Software • Escaneo con Nikto2 • Spidering • Zed Attack Proxy • Descubrir Contenido Oculto • Manejo e Identificadores de Sesión • Descubrimiento • Escaneo Automático con ZAP • Descubrimiento Manual • OWASP TOP 10 2013 • Clasificación de Amenazas WASC • CWE/SANS TOP 25 2011 • Pruebas de Autenticación • Exploitación• Ataques por Fuerza Bruta, Ejecución de Comandos

del Sistema Operativo, Inclusión Remota de Archivos (RFI), Inclusión Local de Archivos, Recorrido de Ruta, Cross Site Request Forgery (CSRF), Subir Archivos, Cross Site Scripting (XSS), Inyección SQL, Inyección SQL Ciega.



4. Material:

Todos los participantes al Curso Virtual de Hacking Aplicaciones Web recibirán las 85 diapositivas en formato PDF utilizadas durante el desarrollo del Curso. Además de un documento de 40 páginas en formato PDF conteniendo todas las Prácticas desarrolladas del Curso.

Adicionalmente el participante tiene la opción de adquirir por S/. 40 Soles dos (2) DVDs conteniendo todas las máquinas virtuales utilizadas durante el desarrollo del Curso, además de un conjunto de herramientas para Sistemas Windows y GNU/Linux. El costo incluye el envío a cualquier lugar del Perú.

En caso el participante no adquiera los DVDs, se sugiere la instalación y configuración de las siguientes máquinas virtuales como mínimo, para desarrollar el Curso.

• Máquina Virtual de Samurai Web Testing Framework 3.0Nombre del Archivo: SamuraiWTF_3.0.zipLink de Descarga: http://sourceforge.net/projects/samurai/files/SamuraiWTF%203.0%20Branch/

• Owasp Broken Web Applications Project 1.1.1Nombre del Archivo: OWASP_Broken_Web_Apps_VM_1.1.1.zipLink de Descarga: http://sourceforge.net/projects/owaspbwa/files/1.1.1/

5. Fechas y Horarios:

El Curso tiene una duración total de 15 (Quince) horas, las cuales están divididas en 4 (cuatro) sesiones de 3 horas y 45 minutos.

Grupo Sábado: 9, 16, 23 y 30 de Mayo del 2015Grupo Domingo: 10, 17, 24 y 31 de Mayo del 2015

Horario Grupo Sábado: De 3:30pm a 7:15pm (UTC -05:00) Horario Grupo Domingo: De 9:00am a 12:45pm (UTC -05:00)

[*] No habrá reprogramación de fechas ni horarios. El Curso se dictará sin ningún requisito mínimo en el número de participantes.


http://sourceforge.net/projects/samurai/files/SamuraiWTF%203.0%20Branch/

http://sourceforge.net/projects/samurai/files/SamuraiWTF%203.0%20Branch/

http://sourceforge.net/projects/owaspbwa/files/1.1.1/


6. Inversión y Forma de Pago:

El Curso tiene un costo de:

S/. 330 Soles o $ 110 Dólares

El pago del Curso se realiza mediante alguno de los siguientes mecanismos:

Residentes en Perú Residentes en Otros Países

Deposito Bancario en la siguiente cuenta:

ScotiaBank Cuenta de Ahorros en Soles: 324-0003164 A nombre de: Alonso Eduardo Caballero Quezada

También puede realizar el depósito en un Agente Scotiabank. Encuentre el más cercano utilizando la siguiente página:

http://www.scotiabank.com.pe/forms/buscador_scotiabank1.aspx

Una vez realizado el depósito, enviar por favor el voucher escaneado o sencillamente detallar los datos al siguiente correo: [email protected]

Transferencia de dinero mediante alguna de las siguientes empresas:

Western Union: http://www.westernunion.com

MoneyGram: https://www.moneygram.com

Escribirme por favor un correo para brindarle los datos necesarios para realizar la transferencia.

Una vez realizada la transferencia, enviar por favor los datos de esta, al siguiente correo: [email protected]

Confirmado el depósito o la transferencia se enviará al correo electrónico del participante, los datos necesarios para conectarse al Sistema, además del material para su participación en el Curso.

El Curso se dicta utilizando el sistema de Video Conferencias Anymeeting. El cual proporciona la transmisión de audio y video en tiempo real, tanto para el instructor como también para los participantes, entre otras características ideales para el dictado de Cursos de manera Virtual.

http://www.anymeeting.com


http://www.anymeeting.com/

https://www.moneygram.com/

http://www.westernunion.com/




7. Más Información:

Si desea más información sobre el Curso Virtual de Hacking Ético, tiene a su disposición los siguientes mecanismos de contacto:

• Correo electrónico: [email protected]

• Vía Web: http://www.reydes.com

• Celular: (+51) 949304030

• Twitter: https://twitter.com/Alonso_ReYDeS

• LinkedIn: http://pe.linkedin.com/in/alonsocaballeroquezada/

8. Sobre el Instructor:

Alonso Eduardo Caballero Quezada es Brainbench Certified Network Security (Master), Computer Forensics (U.S.) & Linux Administration (General), IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling y Miembro de Open Web Application Security Project (OWASP). Ha sido Instructor en el OWASP LATAM Tour Lima, Perú del año 2014, y Conferencista en PERUHACK 2014. Cuenta con más de doce años de experiencia en el área y desde hace ocho años labora como Consultor e Instructor Independiente en las áreas de Hacking Ético & Informática Forense. Perteneció por muchos años al grupo internacional de Seguridad RareGaZz e integra actualmente el Grupo Peruano de Seguridad PeruSEC. Ha dictado cursos en Perú y Ecuador, presentándose también constantemente en exposiciones enfocadas a, Hacking Ético, Informática Forense, GNU/Linux y Software Libre. Su correo electrónico es [email protected] y su página personal está en: http://www.ReYDeS.com.


http://pe.linkedin.com/in/alonsocaballeroquezada/

https://twitter.com/Alonso_ReYDeS

http://www.reydes.com/

mailto:[email protected]

Curso Virtual de Hacking Aplicaciones Web 2015

Technology

Transcript of Curso Virtual de Hacking Aplicaciones Web 2015