Seguridad ofensiva para aplicaciones

Descripción 

Durante este curso se explican, demuestran y ejercitan las técnicas necesarias para realizar pruebas de seguridad para aplicaciones. El enfoque esta dado en aplicaciones web con una introducción a pruebas en aplicaciones móviles. Cada tópico incluye ejercicios hands-on en la forma de Capture the Flag con apoyo constante por parte de los trainers. 

Temario


  • Fundamentos de Seguridad en Aplicaciones

  • Arquitecturas utilizadas en Aplicaciones (tradicional y como servicio en la nube).

  • Uso de buscadores para encontrar aplicaciones vulnerables en producción.

Metodologías para Pruebas de Seguridad de Aplicaciones


  • OWASP Testing Guide

  • OWASP Top 10 Riesgos en Aplicaciones Web

  • OWASP Mobile Security Testing Guide

  • OWASP Top 10 Riesgos en Aplicaciones Móviles

  • OWASP Top 10 Riesgos en APIs

  • Tipos de Pruebas DAST, SAST, IAST

Análisis y Explotación de Vulnerabilidades Web

  • Uso de herramientas tipo Proxy para análisis y explotación de vulnerabilidades en aplicaciones web.

  • Inyecciones de SQL (visibles y ciegas).

  • Capture the Flag (CtF) : Inyecciones SQL.

  • Secuencia de comandos en sitios cruzados (XSS).

  • CtF : Búsqueda de información sensible (post-penetración).

  • Carga de Archivos Arbitraria y Webshells.

  • Fallas en Autenticación y Gestión de Sesiones (IDOR).

  • Ataques automatizados en base a proxies.

  • Ataques de diccionario a procesos de autenticación básica.

  • Ataques a Reglas de Negocios (escalamiento horizontal y vertical).

  • CtF : Ataques a Roles y falta de validación en opciones de upload.

  • CtF : Retos múltiples por fases.

Explotación Automatizada de vulnerabilidades web.

  • Herramientas de análisis automatizadas.

  • Herramientas de explotación automatizadas

Evaluación de Web Services vía SOAP/REST.

  • Arquitectura de Web Services y Micro Servicios.

  • Análisis y Explotación de Vulnerabilidades vía SOAP/REST.

  • Ejercicio : pruebas en aplicaciones basadas en REST API.

  • Ejercicio : Explotación de vulnerabilidades en aplicaciones móviles (mediante un API Restful)

  • CtF : Bypass de Login, Inyección de SQL y Defacement.

Pruebas en Aplicaciones Móviles (DAST)

  • Tipos de Aplicaciones Móviles

  • Componentes de una aplicación móvil

  • Requisitos para pruebas DAST:

       -Rooting

       -SSL Pinning Bypass


  • Uso de un framework para pruebas DAST

Instrumentación con Frida

  • Hooking

  • Modos de Usar Frida

  • Modo de Inyección

  • Modo Gadget

  • Instrumentación para monitorear encriptación

  • CtF Final



¿A quién está dirigido? 

 

Personas con perfil técnico que pueden ser administradores de infraestructura de redes y servidores, desarrolladores de aplicaciones, pentesters de nivel junior o seniors que desean incursionar en pentest de aplicaciones.


Requerimientos técnicos 


Un computador con una maquina virtual de 4GB de RAM, HD de 30GB y conexión a Internet.





Trainers

Walter Cuestas

 


Walter es OffSec Research Leader (OSCP, WhiteHat Security Certified Secure Developer). También, lidera el equipo de pentesters/red teamers de Open-Sec desde 2006.


Hernán Parodi


Hernán es el CEO y Senior Pentester (eWPT) / Red Teamer de Open-Sec. Es un experto en seguridad de infraestructura y aplicaciones. Forma parte del equipo de Open-Sec desde 2010.





Spanish

3 días

 20, 21 y 22 de septiembre

De 10 a 17 hs

ONLINE

Cost

 

USD 1500