Lejos de conformarse con las típicas aplicaciones con algún grado de interactividad y aspecto sobrio y sencillo, el usuario actual de Internet se ha vuelto cada vez más sofisticado, demandando un conjunto de funcionalidades a partir de las cuales su rol de "consumidor" se transformara en el de “prosumidor”, termino utilizado para definir a aquel que no solo consume información provista por terceros, sino que a su vez genera contenido de los tipos más diversos, para que estos a su vez sean consumidos por otros usuarios, dando origen a lo que hoy conocemos como la Web 2.0.

Pero la Web 2.0 tal como la conocemos, se basa en un conjunto de nuevas tecnologías y aplicaciones pensadas de un modo diferente, con capacidades a la altura de tales circunstancias. Cada nueva tecnología, introduce nuevas funcionalidades pero también nuevos desafíos desde el punto de vista de la Seguridad de la Información

"Assessing and Exploiting Web Applications: Latest Attacks" ha sido diseñado específicamente para permitir que el asistente interactúe de primera mano con las nuevas tecnologías disponibles a la hora de desarrollar el nuevo concepto de aplicaciones 2.0, como así también las nuevas vulnerabilidades que acompañan la implementación de las mismas y las últimas técnicas utilizadas por los intrusos a la hora de atacar las mismas.

Partiendo de la base que el asistente a este curso posee conocimientos Medios-Avanzados de seguridad en aplicaciones Web, nos adentraremos en las vulnerabilidades expuestas por HTML5 y sus módulos de localStorage, AppCache, Workers y Sockets.

Del mismo modo, el asistente tendrá oportunidad de conocer todo sobre vulnerabilidades tales como: Ruby Mass Assignment, HPP (HTTP Parameter Pollution), Session Puzzles y otras por medio de aplicaciones específicamente implementadas en el laboratorio provisto por los disertantes para este curso.

Finalmente, aprenderemos a utilizar Python para automatizar las tareas mas comunes de detección y explotación de vulnerabilidades Web, mejorando nuestra productividad y extendiendo nuestro skill más allá de la ejecución de herramientas de terceros.

Temario
*Introducción
   -Las nuevas tecnologías web
   -Webs interconectadas (mashup)
*HTML5
   -Que es HTML5?
   -Usos de HTML5 en Facebook, Twitter y Google
*Cross Site Scripting
   -Filtros vs. Browsers con soporte HTML5
   -XSS con tags HTML5
   -Explotación de XSS con BeEF y XSS Payloads
*Nuevas tecnologías, riesgos asociados y explotación de los mismos:
   -AppCache
   -Worker ThreadsWeb Sockets
   -CORS (Cross-Origin Resource Sharing)
   -GeoLocation
*ClickJacking
*HTTP Parameter Pollution
*CAPTCHAs
   -Diferentes implementaciones
   -Ataques directos y distribuidos
   -Análisis de seguridad en CAPTCHAs
   -Utilizando Python para resolver CAPTCHAS

Pre-Requisitos
*Assessing and Exploiting Web Applications: An Introduction o conocimientos equivalentes.

Nota: Es importante comprender que éste es un curso avanzado, donde se dará por sentado que el asistente comprende en profundidad todos y cada uno de los conceptos y técnicas que conforman el curso "Assessing and Exploiting Web Applications: An Introduction". Si bien no es necesario asistir al mismo, se recomienda tomar el mismo en aquellos casos donde el asistente pudiera no comprender "todos los temas".

Público Objetivo
* Desarrolladores (Sr.)
* QA Testers (Sr.)
* Analistas de Seguridad (Sr.)
* Administradores de Sistemas (Sr.)
* Líderes de Proyecto de desarrollo
* Penetration Testers