Auditoria y Hacking Web - TAES Formacion - Marta Barrio - @martrudix - 11 Marzo 2017

OBJETIVOS

Nuestra formación en Hacking Web le permitirá aprender los aspectos clave en los procesos de hacking ético que permitan evaluar la seguridad de las aplicaciones y los servicios web publicados  en Internet.  Estas aplicaciones son susceptibles  de recibir ataques  por parte de usuarios con intenciones maliciosas. Este tipo de ataques pueden suponer pérdidas económicas para un organismo, así como afectar a la imagen corporativa hacia sus clientes.

Las vulnerabilidades de las aplicaciones web pueden ser originadas por defectos en el diseño y/o en la implementación de las aplicaciones, y de las medidas de control de acceso, validación y saneamiento de los datos de entrada.

PÚBLICO OBJETIVO

Estudiantes, profesionales del sector de la seguridad de la información, administradores de sistemas, fuerzas y cuerpos de seguridad del Estado…

TEMARIO

Perspectiva y enfoque del atacante

Entender la perspectiva del atacante es clave para realizar pruebas de seguridad sobre aplicaciones web. En este apartado se analizará la visión de los distintos componentes y tecnologías de un servicio web desde la visión del atacante.

• Análisis de componentes en lado de cliente y servidor.
• Estudio de arquitectura de aplicaciones web.
• Métodos de control de sesión
• Definición de alcance de pruebas de seguridad.

Reconocimiento y fingerprinting

Análisis de los procedimientos y técnicas de reconocimiento y fingerprinting, incluyendo tanto recolección de información de fuentes públicas como caracterización de los sistemas objetivo.

• Descubrimiento de aplicativos del servicio
• Identificación de Sistema Operativo
• Análisis de capa SSL
• Identificación de configuraciones software
• Técnicas OSINT
• Spidering

Descubrimiento de vulnerabilidades

A partir la información recabada en la fase anterior, se estudiarán los distintos métodos disponibles para la detección de vulnerabilidades Web. Se empleará en todo momento un enfoque práctico y manual.

• Análisis manual de vulnerabilidades
• Proxy Web para interceptación de tráfico (ZAP, Burp)
• Estudio práctico del TOP10 de OWASP (Command Injection, SQL Injection, XSS, CSRF, etc…)
• Analizadores automáticos de vulnerabilidades.

Explotación de vulnerabilidades

En este módulo, se pondrá el foco en distintas técnicas disponibles para el aprovechamiento de vulnerabilidades discutidas en el apartado anterior simulando el comportamiento de un atacante.

• Explotación de navegadores web.
• Uso de máquinas comprometidas para pivotar a redes internas
• BeEF
• Explotación práctica de vulnerabilidades SQL Injection, XSS, CSRF, etc…

REQUISITOS

• Portátil. Conocimientos básicos de TCP/IP y sistemas operativos.

PROFESOR

Marta Barrio – @martrudix

Ingeniera en Informática y Graduada en Ingeniería del Software por la Universidad Politécnica de Madrid, además he realizado el Máster interuniversitario de Seguridad y Tecnologías de la información y de las Comunicaciones en la Universidad Oberta de Cataluña y en posesión de la certificación ITILv3 Foundation, CISA y CEHv8.

Actualmente está inmersa en actividades de consultoría de Seguridad en everis, llevando a cabo tareas relacionadas con el centro de hacking ético, el SOC y tareas de auditoría de seguridad en cliente.

He participado en ponencias/charlas:

• 2016 – Asistencia al Bootcamp Rooted CON 2016 (impartido por Raúl Siles).
• 2015 – Seminario en la URJC – Juguetes de Hacking.
• 2015 – TechFest en la URJC – Breaking Wifi.
• 2014 – Congreso de Redes Sociales en la URJC – Redes sociales: mitos, leyendas y algunas verdades.
• 2014 – X1RedMasSegura – El e-commerce en tus manos: compras 2.0.
• 2014 – International Week en la Universidad de Gante – Introducción a la seguridad de la información, Ingeniería Social y Honeypots .

FECHAS Y HORARIOS

Sábado 11 de Marzo de 2017

De 10:30h  a 14:00 h

15:30h a 20:00 h

DURACIÓN:

8 horas.

PRECIO

• Profesionales 130€ (sin comida), 140€ (con comida)
• Estudiante 70 € (sin comida), 80€ (con comida)
• 3 Profesionales 360 € (sin comida), 390 (con comida)
• 3 Estudiantes 195 € (sin comida), 210 € (con comida)
• 10% Dto para colegiados al COITICV – Colegio Oficial Ingenieros Técnicos en Informática de la Comunitat Valenciana

LIBRO:

Sumándole 22 € al precio / alumno se puede conseguir los libros “Ethical Hacking: Teoría y Práctica para la realización de un pentesting” / “Metasploit para Pentesters” / “Hacking web technologies” / “SQL Injection” de la editorial 0xWord

http://0xword.com/es/libros/

Bonificable a través de la Fundación Tripartita

LUGAR

TÉCNICAS AVANZADAS DE ESTUDIO S.L.     Pasaje Ventura Feliu 10-12

Para inscripciones dirigirse por email a [email protected] o al teléfono 963413537