Para visualizar el sitio de manera óptima actualice el navegador. ×
ESPAÑOL
2 DÍAS
25 y 26 de Septiembre
SUIPACHA 280

Presentacion



Introduccion

Las empresas requieren verificar si sus aplicaciones web están seguras ante cualquier ataque y para ello es necesario someterlas a una serie de pruebas que verifiquen su seguridad. La creciente demanda de profesionales experimentados en Ciberseguridad y de aquellos profesionales que acrediten una sólida formación y amplia experiencia tendrán una mayor ventaja y podrán cubrir las necesidades que las empresas tienen. El presente programa de especialización proporciona los conocimientos necesarios para evaluar las principales vulnerabilidades en aplicaciones web, desde la perspectiva de un atacante. En los cursos que conforman este programa, se desarrollarán las experiencias de laboratorios que permiten poner a prueba los conocimientos adquiridos y que tendrán como base el análisis de aplicaciones web para pruebas de pentesting.

Dirigido a:

Este programa está dirigido a profesionales de Sistemas e informática, programadores o analistas web y carreras afines.

  • Ingenieros de Sistemas e informáticos / TI
  • Profesionales con experiencia en Seguridad de la Información.
  • Auditores de Seguridad Informática y Sistemas.
  • Desarrolladores, programadores o analistas web.

Objetivos del Programa:

  • Proporcionar al participante los conocimientos teóricos-prácticos que permita desarrollar las competencias para realizar un proceso de pentesting a aplicaciones web mediante uso de metodologías, análisis de código y herramientas que permitan conocer y comprender las principales vulnerabilidades web.
  • Ayudar a preparar los mecanismos de localización de vulnerabilidades que posteriormente puedan definir el impacto que un incidente de este tipo podría tener en el negocio de la compañía.

Agenda:

Dia 1

Introducción a las Aplicaciones Web

  • Fundamentos de Seguridad en Aplicaciones Web
  • Arquitecturas utilizadas en Aplicaciones Web (tradicional y como servicio en la nube).

Introducción a la Seguridad de Aplicaciones Web

  • OWASP Testing Guide
  • OWASP Mobile Security Testing Guide
  • OWASP Top 10

Análisis y Explotación de Vulnerabilidades Web - DURACION: 21hs

  • Uso de buscadores para encontrar aplicaciones vulnerables en producción.
  • Uso de herramientas tipo Proxy para análisis y explotación de vulnerabilidades en aplicaciones web.
  • Inyecciones de SQL (visibles y ciegas).
  • Capture the Flag (CtF) : Inyecciones SQL.
  • Secuencia de comandos en sitios cruzados (XSS).
  • CtF : Búsqueda de información sensible (post-penetración).
  • Fallas en Autenticación y Gestión de Sesiones.
  • Configuración Defectuosa de Seguridad.
  • Almacenamiento Criptográfico Inseguro.
  • Búsqueda de directorios web y archivos con información valiosa.
  • Ataques a Reglas de Negocios.
  • Carga de Archivos Arbitraria y Webshells.
  • Ataques a XXE.
  • CtF : Ataques de Diccionario.
Dia 2
  • CtF : Ataques a Roles y falta de validación en opciones de upload.
  • CtF : Vulneración en encabezados HTTP.
  • CtF : Bypass de Login vía información divulgada en archivos.
  • Retos múltiples por fases.

Explotación Automatizada de vulnerabilidades web

  • Herramientas de análisis automatizadas.
  • Herramientas de explotación automatizadas

Evaluación de Web Services vía SOAP/REST

  • Arquitectura de Web Services y Micro Servicios.
  • Ataques a DEVOPS.
  • Análisis y Explotación de Vulnerabilidades vía SOAP/REST
  • Ejercicio : pruebas en aplicaciones móviles basadas en REST API.
  • CtF Final : Bypass de Login, Inyección de SQL y Defacement.
EQUIPAMIENTO
  • Cada participante deberá asistir con un computador (La memoria RAM debe ser de por lo menos 4GB, interfaz de red cableada.
  • Cada computador debe tener instalado un software de máquina virtual (VirtualBox o VMWare). Se proveerá el software necesario.

Lugar

Fundación Proydesa - Suipacha 280

Ver en Google Maps

Costos

Anticipado
AR$ 6.900
Hasta el 29/08 (iva incluido)
Regular
AR$ 7.800
30/08 al 22/09 (iva incluido)
En sitio
AR$ 8.970
25/09 (iva incluido)
PROMO: AR$ 6.000 para los que hayan tomado algún training el año pasado.
¿Consultas?
Para realizar consultas sobre el training, contactate con capacitacion@ekoparty.org

Instructores

Walter Cuestas

Dirige el equipo de hackers profesionales de Open-Sec (empresa peruana dedicada únicamente a proveer servicios de ethical hacking) desde el 2006. Estas labores las realizan empleando normas y estándares como PCI DSS, SOX, regulaciones locales y aplicando metodologías como OSSTMM y OWASP. Su ámbito de operación corresponde a Perú, Ecuador, Panamá y El Salvador. En el aspecto técnico, su labor se basa en desarrollar técnicas de intrusión y su interés principal está en el desarrollo de scripts para pentesting. Ha participado como expositor en eventos como LimaHack, Campus Party Quito, CSI Pereira, eventos de OWASP Latam (El Salvador, Perú) y Ekoparty (el evento más importante de hackers que se lleva a cabo anualmente en Argentina). También, ha publicado artículos en revistas especializadas como Hakin9, PenTest Magazine y Hack-in-Sight. Desde el año 2016, es parte del equipo de instructores aprobado por el US Northern Command (US Army) para entrenamiento en ciberseguridad (técnicas de hacking y vulneración de controles de seguridad).