Pentesting de aplicaciones web. Primera Temporada (THWI-1-T1)

PRIMERA TEMPORADA


Descripción

Las aplicaciones web se han convertido desde hace varios años, en una de las formas preferidas por los usuarios de interactuar con servicios en Internet. No obstante, también se ha convertido en una de las principales vías de ataque y compromiso de los atacantes y hackers, por ese motivo es importante conocer exactamente cuáles son las principales técnicas y vectores de ataque que permiten detectar y explotar vulnerabilidades en aplicaciones web.

Bloque 1: Introducción a las arqutecturas web y el protocolo HTTP
- Modelo cliente-servidor.
- Funcionamiento del protocolo HTTP/HTTPS.
- Tecnologías utilizadas para el desarrollo de aplicaciones web.
- TOP 10 OWASP.

Bloque 2: Vulnerabilidades de inyección.
- XSS reflejado y almacenado.
- XPath Injection.
- SQL Injection.
- LDAP Injection, OS Injection y otros tipos de inyecciones.

Bloque 3: Referencias inseguras a objetos directos.
- Validación de paramétros de petición.
- Gestión de permisos y valores en objetos y referencias.

Bloque 4: Malas configuraciones de seguridad.
- Herramientas y librerías desactualizadas.
- Servicios y programas en ejecución innecesarios.
- Políticas de gestión de contraseñas inadecuadas o inexistentes.
- Fugas de información.
- Frameworks y librerías de la aplicación con configuraciones por defecto e inseguras.

Bloque 5: Exposición de información sensible.
- Mecanismos de protección ineficientes o inexistentes sobre la información de los usuarios.
- Transporte inseguro de información sensible.
- Uso de algoritmos criptográficos inseguros o anticuados.

Bloque 6: Fallos en controles de acceso.
- Errores en funciones de autenticación y autorización en el lado del servidor.
- Validaciones utilizando únicamente información enviada por el cliente/atacante.

Bloque 7: Vulnerabilidades CSRF
- Obligando al usuario a realizar peticiones maliciosas.
- Tokens CSFR inexistentes o inseguros.

Bloque 8: Vulnerabilidades de redirección de peticiones.
- URLs en parámetros sin validar.
- Redirecciones internas inseguras.
- Redirecciones externas inseguras.


Comprar!

Contenido
  • Sesión 0: Índice de contenidos.
  • Sesión 1 - Módelo Cliente- Servidor. Funcionamiento del Protocolo HTTP
  • Sesión 1 - Módelo Cliente- Servidor. Funcionamiento del Protocolo HTTP
  • Sesión 1 - Prueba de conocimientos.
  • Sesión 2 - Tecnologías para el desarrollo web en el lado del servidor.
  • Sesión 2 - Tecnologías para el desarrollo web en el lado del servidor.
  • Sesión 2 - Prueba de conocimientos.
  • Sesión 3 - Tecnologías para el desarrollo de aplicaciones web en cliente
  • Sesión 3 - Tecnologías para el desarrollo de aplicaciones web en cliente
  • Sesión 3 - Prueba de conocimientos.
  • Sesión 4 - Funcionamiento del protocolo HTTPS.
  • Sesión 4 - Funcionamiento del protocolo HTTPS.
  • Sesión 4 - Prueba de conocimientos.
  • Sesión 5 - Introducción al OWASP Top 10.
  • Sesión 5 - Introducción al OWASP Top 10.
  • Sesión 5 - Prueba de conocimientos.
  • Sesión 6 - Vulnerabilidades de inyección XSS
  • Sesión 6 - Vulnerabilidades de inyección XSS
  • Sesión 6 - Prueba de conocimientos.
  • Ejercicios Bloque 1.
  • Sesión 7 - Otras vulnerabilidades de Inyección
  • Sesión 7 - Otras vulnerabilidades de Inyección
  • Sesión 7 - Prueba de conocimientos.
  • Sesión 8 - Referencias inseguras a objetos directos
  • Sesión 8 - Referencias inseguras a objetos directos
  • Sesión 8 - Prueba de conocimientos.
  • Sesión 9 - Configuraciones inseguras en servidores y aplicaciones web
  • Sesión 9 - Configuraciones inseguras en servidores y aplicaciones web
  • Sesión 9 - Prueba de conocimientos.
  • Sesión 10 - Vulnerabilidades CSRF en aplicaciones web
  • Sesión 10 - Vulnerabilidades CSRF en aplicaciones web
  • Sesión 10 - Prueba de conocimientos.
  • Sesión 11 - Vulnerabilidades de redirección en aplicaciones web
  • Sesión 11 - Vulnerabilidades de redirección en aplicaciones web
  • Sesión 11 - Prueba de conocimientos.
  • Sesión 12 - Herramientas habituales para pentesting y hacking web
  • Sesión 12 - Herramientas habituales para pentesting y hacking web
  • Sesión 12 - Prueba de conocimientos.
  • Ejercicios Bloque 2
  • Conclusiones y recomendaciones
  • Conclusiones y recomendaciones
  • Exámen de certificación.
Reglas de finalización
  • Debe completar las unidades "Exámen de certificación."