Fecha
20 al 24 de junio de 2016
Horario
9:00 a 13:00 hs.
Lugar
Aula 8 Anexo de la DGTIC
Costo de recuperación
$2,000.00
Instructor
Perfil de ingreso
El curso está dirigido a toda persona interesada en especializarse en el campo de la seguridad en cómputo, en especial a desarrolladores y/o administradores de sitio web interesados en conocer las técnicas que usan atacantes para comprometer la seguridad de sus las aplicaciones web.
Los interesados deberán demostrar conocimientos básicos en seguridad informática, estándar TCP/IP, programación enfocada a web y bases de datos.
Objetivo
El participante conocerá las vulnerabilidades más recurrentes en aplicaciones web, aprenderá sobre el protocolo para interactuar con un servidor web, también implementara herramientas para realizar pruebas de penetración esto le permitirá explotar vulnerabilidades comunes sobre aplicaciones web.
Temario
1. OWASP
2. Arquitecturas cliente-servidor
3. Protocolo HTTP
3.1. Métodos de petición Web
3.2. Códigos de respuesta
3.2.1. Información
3.2.2. Éxito
3.2.3. Redirección
3.2.4. Errores del cliente
3.2.5. Errores del servidor
3.3. Cabeceras
3.3.1. Cabeceras generales
3.3.2. Cabeceras de solicitud
3.3.3. Cabeceras de respuesta
3.3.4. Cabecera de entidad
3.4. Secure Sockets Layer y Transport Layer Security
3.5. Tipos de autenticación Web
3.5.1. Básica
3.5.2. Digest
3.5.3. Basado en formularios
3.5.4. Certificados de cliente
3.5.5. Integración con Windows
3.6. Seguimiento de sesión
3.6.1. Cookies
3.6.2. Campos ocultos
3.6.3. Reescribir la URL (URL Encoding)
4. Metodología de pruebas de penetración
4.1. Planeación
4.1.1. Caso práctico
4.2. Reconocimiento
4.2.1. Plugins de Firefox
4.2.2. Netcraft
4.2.3. Link Extractor
4.2.4. Web crawler
4.2.5. Google hacking
4.2.6. Maltego
4.3. Escaneo
4.3.1. Flujo de escaneo
4.3.2. Fingerprinting SO y Banner Grabbing
4.3.3. Escaneo de vulnerabilidades
4.4. Explotación
4.4.1. Inyección
4.4.2. Pérdida de autenticación y gestión de sesiones
4.4.3. Secuencia de comandos en sitios cruzados (Cross-Site Scripting XSS)
4.4.4. Referencia directa insegura a objetos
4.4.5. Configuraciones de seguridad erróneas
4.4.6. Exposición de datos sensibles
4.4.7. Falta de control a las funciones de acceso
4.4.8. Falsificación de peticiones a sitios cruzados (Cross-Site Request Forgery CSRF/XSRF)
4.4.9. Uso de componentes de vulnerabilidades conocidas
4.4.10. Redirección y reenvíos no validados
4.5. Documentación
Perfil de egreso
Los conocimientos adquiridos permitirán al participante realizar auditorías en aplicaciones web, así como aplicar métodos, técnicas y herramientas que le permitan explotar vulnerabilidades relacionadas con aplicaciones web.
Duración
20 horas.