Curso de ataques a aplicaciones – Top 10 OWASP

Objetivo.

Conociendo cuales son las vulnerabilidades más comunes, como son aprovechadas por los cibercriminales y cuáles son las alternativas que se tienen para evitarlas, el asistente será capaz tanto de prevenir, identificar y evaluar en su sitio si se encuentran presentes en sus sitios o en los códigos que se desarrollan.

Audiencia.

Programadores
Testers
Especialistas en seguridad.

Pre requisitos.

Conocimiento de las fases del ciclo de desarrollo de software.

Temario.

1. Creando laboratorio de prácticas.

2. Conceptos básicos.

3. Obtención de información – Uso de OSINT (Open Source Intelligence).
3.1. Hacking con buscadores.
3.2. Potencializando análisis con Maltego.
3.3. Identificación de tecnologías.
3.4. Identificación de servicios.
3.5. Identificación de puertos.
3.6. Metadatos e información pública.

4. Vulnerabilidades top 10 OWASP
4.1. Inyecciones de código.
4.1.1. SQL.
4.1.2. XSS, HTML, XML.
4.1.3. Flash.
4.1.4. Comandos.

4.2. Gestión de sesiones.
4.2.1. Conexiones no cifradas
4.2.2. Ataques de fuerza brutal
4.2.3. Tiempo de sesiones.
4.2.4. Protección de credenciales.
4.2.5. Exposición de sesión.

4.3. Secuencia de comandos en sitios cruzados (XSS).
4.3.1. Ataques enfocados de XSS
4.3.2. Robo de cuentas.
4.3.3. Modificar contenido web.
4.3.4. Redirecciones maliciosas.
4.3.5. Ejecución de virus y códigos maliciosos.

4.4. Referencia directa insegura a objetos.
4.4.1. Ataques de ruta transversal.
4.4.2. Vulneración del esquema de autenticación.
4.4.3. Escala de privilegios.

4.5. Configuración de seguridad incorrecta.
4.5.1. A nivel de aplicación.
4.5.2. A nivel de plataforma.
4.5.3. A nivel del servidor.

4.6. Exposición de datos sensibles.
4.6.1. Definición de datos sensibles.
4.6.2. Transmisión de datos.
4.6.3. Manipulación de certificados.
4.6.4. Ataques de MITM (Man In The Middle)

4.7. Ausencia de control de acceso a funciones.
4.7.1. Filtro de información.
4.7.2. Uso de fusiones administrativas.
4.7.3. Abuso de funcionalidades.

4.8. Falsificación de peticiones en sitios cruzados (CSRF).
4.8.1. Ataque de Cross Site Request Forgery (CSRF)

4.9. Utilización de componentes con vulnerabilidades conocidas.
4.9.1. Identificación de tecnologías, componentes y pluggins.
4.9.2. Escáneres de vulnerabilidades.
4.9.3. Escaneo de seguridad en páginas HTML, PHP, ASP.
4.9.4. Escaneo de Joomla.
4.9.5. Escaneo de WordPress.
4.9.6. Redirecciones y reenvíos no válidos.

5. Valoración de amenazas.

indevo Capacitacion TI capacitacion training cursos

Clic para llenar el formulario de contacto

Objetivo.

Audiencia.

Programadores

Testers

Especialistas en seguridad.

Pre requisitos.

Conocimiento de las fases del ciclo de desarrollo de software.

Temario.

1. Creando laboratorio de prácticas.

2. Conceptos básicos.

3. Obtención de información – Uso de OSINT (Open Source Intelligence). 3.1. Hacking con buscadores. 3.2. Potencializando análisis con Maltego. 3.3. Identificación de tecnologías. 3.4. Identificación de servicios. 3.5. Identificación de puertos. 3.6. Metadatos e información pública.

4. Vulnerabilidades top 10 OWASP 4.1. Inyecciones de código. 4.1.1. SQL. 4.1.2. XSS, HTML, XML. 4.1.3. Flash. 4.1.4. Comandos.

4.2. Gestión de sesiones. 4.2.1. Conexiones no cifradas 4.2.2. Ataques de fuerza brutal 4.2.3. Tiempo de sesiones. 4.2.4. Protección de credenciales. 4.2.5. Exposición de sesión.

4.3. Secuencia de comandos en sitios cruzados (XSS). 4.3.1. Ataques enfocados de XSS 4.3.2. Robo de cuentas. 4.3.3. Modificar contenido web. 4.3.4. Redirecciones maliciosas. 4.3.5. Ejecución de virus y códigos maliciosos.

4.4. Referencia directa insegura a objetos. 4.4.1. Ataques de ruta transversal. 4.4.2. Vulneración del esquema de autenticación. 4.4.3. Escala de privilegios.

4.5. Configuración de seguridad incorrecta. 4.5.1. A nivel de aplicación. 4.5.2. A nivel de plataforma. 4.5.3. A nivel del servidor.

4.6. Exposición de datos sensibles. 4.6.1. Definición de datos sensibles. 4.6.2. Transmisión de datos. 4.6.3. Manipulación de certificados. 4.6.4. Ataques de MITM (Man In The Middle)

4.7. Ausencia de control de acceso a funciones. 4.7.1. Filtro de información. 4.7.2. Uso de fusiones administrativas. 4.7.3. Abuso de funcionalidades.

4.8. Falsificación de peticiones en sitios cruzados (CSRF). 4.8.1. Ataque de Cross Site Request Forgery (CSRF)

5. Valoración de amenazas.

3. Obtención de información – Uso de OSINT (Open Source Intelligence).
3.1. Hacking con buscadores.
3.2. Potencializando análisis con Maltego.
3.3. Identificación de tecnologías.
3.4. Identificación de servicios.
3.5. Identificación de puertos.
3.6. Metadatos e información pública.

4. Vulnerabilidades top 10 OWASP
4.1. Inyecciones de código.
4.1.1. SQL.
4.1.2. XSS, HTML, XML.
4.1.3. Flash.
4.1.4. Comandos.

4.2. Gestión de sesiones.
4.2.1. Conexiones no cifradas
4.2.2. Ataques de fuerza brutal
4.2.3. Tiempo de sesiones.
4.2.4. Protección de credenciales.
4.2.5. Exposición de sesión.

4.3. Secuencia de comandos en sitios cruzados (XSS).
4.3.1. Ataques enfocados de XSS
4.3.2. Robo de cuentas.
4.3.3. Modificar contenido web.
4.3.4. Redirecciones maliciosas.
4.3.5. Ejecución de virus y códigos maliciosos.

4.4. Referencia directa insegura a objetos.
4.4.1. Ataques de ruta transversal.
4.4.2. Vulneración del esquema de autenticación.
4.4.3. Escala de privilegios.

4.5. Configuración de seguridad incorrecta.
4.5.1. A nivel de aplicación.
4.5.2. A nivel de plataforma.
4.5.3. A nivel del servidor.

4.6. Exposición de datos sensibles.
4.6.1. Definición de datos sensibles.
4.6.2. Transmisión de datos.
4.6.3. Manipulación de certificados.
4.6.4. Ataques de MITM (Man In The Middle)

4.7. Ausencia de control de acceso a funciones.
4.7.1. Filtro de información.
4.7.2. Uso de fusiones administrativas.
4.7.3. Abuso de funcionalidades.

4.8. Falsificación de peticiones en sitios cruzados (CSRF).
4.8.1. Ataque de Cross Site Request Forgery (CSRF)