Este documento presenta un webinar gratuito sobre la herramienta Zed Attack Proxy (ZAP) para pruebas de penetración de aplicaciones web. ZAP permite escanear aplicaciones para encontrar vulnerabilidades de manera automática y manual. El webinar incluye una introducción al orador, una descripción general de ZAP y sus funcionalidades, ejemplos de cómo realizar una prueba de penetración básica, y detalles sobre un curso en línea sobre hacking de aplicaciones web.
OWASP Zed Attack Proxy (ZAP) es una herramienta integral, la cual se utiliza para realizar pruebas de penetración y encontrar vulnerabilidades en aplicaciones web. Zed Attack Proxy proporciona escaners automáticos, como también un conjunto de herramientas las cuales permiten encontrar de manera manual, vulnerabilidades de seguridad.
Diapositivas utilizadas en la presentación sobre "Pentesting con Zed Attack Proxy" para 0x11 OWASP Perú Chapter Meeting. Evento realizado el día Miércoles 23 de Noviembre del 2016.
OWASP Zed Attack Proxy (ZAP) es una herramienta integral, la cual se utiliza para realizar pruebas de penetración y encontrar vulnerabilidades en aplicaciones web. Zed Attack Proxy proporciona escaners automáticos, como también un conjunto de herramientas las cuales permiten encontrar de manera manual, vulnerabilidades de seguridad.
Diapositivas utilizadas en la presentación sobre "Pentesting con Zed Attack Proxy" para 0x11 OWASP Perú Chapter Meeting. Evento realizado el día Miércoles 23 de Noviembre del 2016.
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack ProxyAlonso Caballero
Este webinar expone detalladamente el proceso de utilizar la distribución Kali Linux; orientada a realizar pruebas de penetración y auditorías de seguridad; y específicamente la herramienta OWASP Zed Attack Proxy (ZAP), para realizar un spidering automático y una búsqueda de directorios utilizando fuerza bruta; procesos correspondientes a la etapa del mapeo de una aplicación web, con el propósito de evaluar su seguridad.
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesNextel S.A.
Presentación Pablo Garaizar de la Universidad de Deusto, durante la XV Jornada de Seguridad TI de Nextel S.A. en la Alhóndiga de Bilbao el jueves 27 de junio de 2013.
Manual de prieros pasos para utiliar este SO que es la evolucion del famoso backtrack, Kali linux es SO diseñado para las auditoorias en seguridad informatica
En esta charla veremos las vulnerabilidades de la lista OWASP top ten de 2017 y como evitarlas en NodeJS. Además también veremos buenas prácticas para segurizar nuestras apis utilizando JWT y JWKS.
Video: https://www.youtube.com/watch?v=bMwgLaDyD1w
Como profesionales en ciberseguridad, se tiene la única responsabilidad de encontrar y entender las vulnerabilidades presentes en la organización, para luego trabajar diligentemente en mitigarlas antes de estas sean aprovechadas por los atacantes maliciosos. Este curso abarca las herramientas, técnicas y metodologías para realizar pruebas de penetración contra redes y sistemas, y así estar en la capacidad de realizar proyectos de pruebas de penetración exitosamente. Todas las organizaciones necesitan personal experimentado en seguridad de la información, quienes puedan encontrar vulnerabilidades y mitigar sus efectos. Con este curso se estará en la capacidad de realizar pruebas de penetración y hacking ético, aplicando los conocimientos, herramientas, y técnicas explicadas detalladamente. Consecuentemente descubrir y explotar vulnerabilidades en entornos reales, demostrando así todos los conocimientos adquiridos.
Este curso enseña a los participantes como realizar un reconocimiento detallado, analizado profundamente la infraestructura a evaluar mediante motores de búsqueda, redes sociales y otras fuentes de información para Internet e Intranet. Luego se escanean las redes utilizando las mejores herramientas disponibles. Se abarcan las mejores opciones, configuraciones y capacidades de las herramientas para realizar pruebas de penetración. Se exponen diversos métodos de explotación para ganar acceso hacia los sistemas vulnerables, y de esta manera medir el riesgo real para la organización. Después se realizan acciones posteriores a la explotación y ataques a contraseñas. Todos los ataques se desarrollan en un laboratorio de pruebas controlado.
En la actualidad todos nosotros confiamos en las aplicaciones web para realizar diversas tareas diarias, ya sea en el trabajo, en casa, o para diversión; siendo posible accederlas numerosas veces al día desde; utilizando laptops, computadoras, tablets, teléfonos inteligentes, y otros dispositivos. Estas aplicaciones web son utilizadas para realizar compras, transacciones bancarias, pagos de cuentas, interactuar a través de redes sociales, y muchos otros propósitos. El problema con las aplicaciones web es no ser tan seguras como se piensa, y la mayoría de las veces los ataques utilizados para ganar acceso son relativamente sencillos y simples. De hecho cualquiera puede utilizar herramientas de hacking para realizar ataques devastadores.
Este curso enseña a los participantes como realizar evaluaciones de seguridad contra aplicaciones web, de tal manera se pueda también prevenir los ataques. Se abarca la teoría, herramientas, y tecnologías utilizadas para identificar y explotar las vulnerabilidades web más frecuentes y dañinas presentes en las aplicaciones web. Esto significa tener la capacidad de obtener información sensible desde una base de datos, evadir una página de autenticación, o realizar la suplantación de usuarios. Se aprenderá sobre la selección del objetivo a evaluar, como realizar los ataques, cuales herramientas son necesarias, y como utilizarlas adecuadamente.
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack ProxyAlonso Caballero
Este webinar expone detalladamente el proceso de utilizar la distribución Kali Linux; orientada a realizar pruebas de penetración y auditorías de seguridad; y específicamente la herramienta OWASP Zed Attack Proxy (ZAP), para realizar un spidering automático y una búsqueda de directorios utilizando fuerza bruta; procesos correspondientes a la etapa del mapeo de una aplicación web, con el propósito de evaluar su seguridad.
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesNextel S.A.
Presentación Pablo Garaizar de la Universidad de Deusto, durante la XV Jornada de Seguridad TI de Nextel S.A. en la Alhóndiga de Bilbao el jueves 27 de junio de 2013.
Manual de prieros pasos para utiliar este SO que es la evolucion del famoso backtrack, Kali linux es SO diseñado para las auditoorias en seguridad informatica
En esta charla veremos las vulnerabilidades de la lista OWASP top ten de 2017 y como evitarlas en NodeJS. Además también veremos buenas prácticas para segurizar nuestras apis utilizando JWT y JWKS.
Video: https://www.youtube.com/watch?v=bMwgLaDyD1w
Como profesionales en ciberseguridad, se tiene la única responsabilidad de encontrar y entender las vulnerabilidades presentes en la organización, para luego trabajar diligentemente en mitigarlas antes de estas sean aprovechadas por los atacantes maliciosos. Este curso abarca las herramientas, técnicas y metodologías para realizar pruebas de penetración contra redes y sistemas, y así estar en la capacidad de realizar proyectos de pruebas de penetración exitosamente. Todas las organizaciones necesitan personal experimentado en seguridad de la información, quienes puedan encontrar vulnerabilidades y mitigar sus efectos. Con este curso se estará en la capacidad de realizar pruebas de penetración y hacking ético, aplicando los conocimientos, herramientas, y técnicas explicadas detalladamente. Consecuentemente descubrir y explotar vulnerabilidades en entornos reales, demostrando así todos los conocimientos adquiridos.
Este curso enseña a los participantes como realizar un reconocimiento detallado, analizado profundamente la infraestructura a evaluar mediante motores de búsqueda, redes sociales y otras fuentes de información para Internet e Intranet. Luego se escanean las redes utilizando las mejores herramientas disponibles. Se abarcan las mejores opciones, configuraciones y capacidades de las herramientas para realizar pruebas de penetración. Se exponen diversos métodos de explotación para ganar acceso hacia los sistemas vulnerables, y de esta manera medir el riesgo real para la organización. Después se realizan acciones posteriores a la explotación y ataques a contraseñas. Todos los ataques se desarrollan en un laboratorio de pruebas controlado.
En la actualidad todos nosotros confiamos en las aplicaciones web para realizar diversas tareas diarias, ya sea en el trabajo, en casa, o para diversión; siendo posible accederlas numerosas veces al día desde; utilizando laptops, computadoras, tablets, teléfonos inteligentes, y otros dispositivos. Estas aplicaciones web son utilizadas para realizar compras, transacciones bancarias, pagos de cuentas, interactuar a través de redes sociales, y muchos otros propósitos. El problema con las aplicaciones web es no ser tan seguras como se piensa, y la mayoría de las veces los ataques utilizados para ganar acceso son relativamente sencillos y simples. De hecho cualquiera puede utilizar herramientas de hacking para realizar ataques devastadores.
Este curso enseña a los participantes como realizar evaluaciones de seguridad contra aplicaciones web, de tal manera se pueda también prevenir los ataques. Se abarca la teoría, herramientas, y tecnologías utilizadas para identificar y explotar las vulnerabilidades web más frecuentes y dañinas presentes en las aplicaciones web. Esto significa tener la capacidad de obtener información sensible desde una base de datos, evadir una página de autenticación, o realizar la suplantación de usuarios. Se aprenderá sobre la selección del objetivo a evaluar, como realizar los ataques, cuales herramientas son necesarias, y como utilizarlas adecuadamente.
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
NSE es una de las funcionalidades más potentes y flexibles de Nmap. Permite a los usuarios escribir scripts simples para automatizar una amplia variedad de tareas para redes. Estos scripts se ejecutan en paralelo con la velocidad y eficiencia conocida de Nmap. Los usuarios confían en el creciente y diverso conjunto de scripts distribuidos con Nmap, o también pueden escribir los propios para satisfacer necesidades específicas. En este webinar se expone; utilizando ejemplos y demostraciones prácticas; diversos scripts (NSE) factibles de ser utilizados para Hacking Web.
Este curso está orientado a aquellas personas quienes son nuevos en el mundo del hacking ético y pruebas de penetración, para aquellos con poca o ninguna experiencia previa, para aquellos quienes se sienten abrumados sobre como encajan todas las fases y herramientas, para una persona quien desea rápidamente empezar a utilizar las herramientas y conocer los métodos para realizar pruebas de penetración, o para cualquiera quien desee expandir su conocimiento en seguridad ofensiva. Es decir para cualquier interesado en seguridad de computadoras, hacking, o pruebas de penetración, pero quien no tiene experiencia previa y no está seguro de donde empezar.
Este curso enseña a los participantes los fundamentos sobre los procesos y herramientas utilizadas por los profesionales en hacking ético y pruebas de penetración, para ganar acceso hacia redes y sistemas. Este es un buen punto de inicio para empezar a adquirir conocimientos sobre seguridad ofensiva. Así mismo se proporcionan conocimientos para realizar auditorias de seguridad en las organizaciones. Este curso proporciona lo fundamental y general para poder ir hacia otros temas, libros, o cursos más avanzados.
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Alonso Caballero
El escanear puertos puede considerarse un arte. Los profesionales más experimentados comprenden diversas técnicas para realizar escaneos, seleccionado la más adecuada; o combinación de las mismas; para realizar una tarea determinada. Los novatos generalmente intentan realizar todo utilizando el escaneo SYN predeterminado. El único impedimento para dominar el escaneo de puertos es el conocimiento. En este webinar se expone; utilizando ejemplos y demostraciones prácticas; los diez principales tipos de escaneos de puertos utilizando Nmap.
Kali Linux es una distribución basada en GNU/Linux Debian, diseñada para realizar auditorias de seguridad y pruebas de penetración avanzadas. Kali Linux contiene cientos de herramientas destinadas a diversas tareas en seguridad de la información, tales como pruebas de penetración, investigación de seguridad, forense digital e ingeniería inversa. Kali Linux incluye más de 600 herramientas para pruebas de penetración, es libre, tiene un árbol GIT open source, cumple con FHS, tiene un amplio soporte para dispositivos inalámbricos, incluye un kernel parchado para inyección, es desarrollado en un entorno seguro, sus repositorios y paquetes están firmados con GPG, tiene soporte para múltiples lenguajes, incluye soporte para ARMEL, y ARMHF, además de ser completamente personalizable.
Este curso proporciona una gran cantidad de conocimientos para iniciarse en el área del Hacking Ético, además de ser una guía práctica para la utilización de las herramientas más populares durante la realización de Pruebas de Penetración, Hacking Ético, o Auditorias de Seguridad. Así mismo este curso proporciona conocimientos sobre pruebas de penetración utilizando Kali Linux, conceptos sobre programación, metasploit framework, captura de información, búsqueda de vulnerabilidades, técnicas para la captura de tráfico, explotación de vulnerabilidades, técnicas manuales de explotación, ataques a contraseñas, ataques para el lado del cliente, ingeniería social, técnicas para evadir antivirus y técnicas de post-explotación.
Zenmap es la interfaz gráfica de usuario oficial (GUI) para el escáner de seguridad Nmap. Es una aplicación multiplataforma, libre y de fuente abierta, el cual tiene como propósito hacer Nmap sea fácil de utilizar para aquellos quienes recién inician, al mismo tiempo proporciona funcionalidades avanzadas para los usuarios más experimentados de Nmap. En este Webinar se exponen de manera práctica, las principales características de Zenmap aplicadas al ámbito de las Pruebas de Penetración.
En la actualidad todas las empresas y organizaciones deben estar preparadas para enfrentar exitosamente diversos tipos de crímenes cibernéticos, los cuales se suscitan y afectan sus sistemas de cómputo y redes. Consecuentemente se ha incrementado la demanda por profesionales forenses debidamente entrenados y experimentados, quienes estén en la capacidad investigar crímenes cibernéticos relacionados a fraudes, amenazas internas, espionaje industrial, inadecuado uso de los empleados, e intrusiones hacia computadoras y redes Las agencias del gobierno a nivel mundial también requieren profesionales forenses debidamente entrenados y con amplia experiencia en el ámbito del forense digital.
Este curso enseña a los participantes a desarrollar un profundo conocimiento sobre forense digital aplicado al sistema operativo Microsoft Windows. Es fundamental comprender las capacidades forenses y artefactos en estos sistemas. Aprender a identificar, capturar, autenticar, y analizar datos forenses. Entender como se puede rastrear detalladamente la actividad realizada del usuario a través de la red, además de como organizar sus hallazgos para ser utilizado en una respuesta de incidentes, investigaciones internas, y litigios civiles o penales. Utilizar los nuevos conocimientos adquiridos para validar las herramientas de seguridad, mejorando las evaluaciones de seguridad, identificar amenazas internas, rastrear atacantes, y mejorar las políticas de seguridad. Aunque se conozca o no, el sistema operativo Windows silenciosamente registra una gran cantidad de datos sobre el propio sistema y los usuarios. Este curso enseña una metodología para forense de computadoras con etapas de identificación, preservación, análisis y documentación. Se exponen técnicas y procedimientos de investigación manuales, también se utilizan herramientas forenses.
Webinar Gratuito: Análisis de Memoria con AutopsyAlonso Caballero
El forense a la memoria implica realizar un análisis forense a un volcado obtenido desde la memoria correspondiente a una computadora. Su principal aplicación es la investigación de ataques avanzados por computadora, los cuales son lo suficientemente sigilosos para evitar dejar datos o evidencia sobre el dispositivo de almacenamiento, como un disco duro. Consecuentemente la memoria RAM debe ser analizada para obtener evidencia digital útil durante una investigación forense.
Las aplicaciones web modernas tienen un rol muy importante en todas las organizaciones. Pero si la organización no tiene la capacidad de evaluar y asegurar adecuadamente sus aplicaciones web, los ciberatacantes podrían comprometer estas aplicaciones, afectando el funcionamiento normal de la empresa, como también robar datos sensibles. Desafortunadamente muchas organizaciones operan bajo la errónea percepción, de un escáner de seguridad para aplicaciones web es la manera más fiable de descubrir fallas en sus sistemas. Las ciberdefensas modernas requieren una comprensión realista y profunda de los problemas de seguridad relacionadas con la aplicación web. Cualquiera puede aprender a realizar algunos tipos de ataques contra la web, pero una prueba de penetración efectiva contra aplicaciones web requiere un conocimiento más profundo.
Este curso enseña a los participantes a entender las principales fallas encontradas en las aplicaciones web, como también a identificar y explotarlas con el propósito de demostrar el potencial impacto hacia la empresa. Los profesionales en seguridad de la información frecuentemente se esfuerzan en ayudar a las organizaciones a entender su riesgo en términos de la empresa. Ejecutar elaborados e impresionantes ataques tiene poco valor si la organización no toma en serio su riesgo, y despliega las medidas correctivas adecuadas. El propósito de este curso es mejorar la seguridad de las organizaciones a través de una prueba de penetración, y no solo demostrar las habilidades de Hacking. Este curso ayuda a los participantes a demostrar el verdadero impacto de las fallas en las aplicaciones web, no únicamente a través de la explotación, sino también a través de una adecuada documentación y reporte.
La inyección de comandos es un ataque cuyo propósito es la ejecución de comandos arbitrarios en el sistema operativo mediante una aplicación vulnerable. Los ataques para inyección de comandos son posibles cuando una aplicación envía datos no seguros suministrados por el usuario (formularios, cookies, encabezados HTTP, etc.) hacia una shell del sistema. Este Webinar expone mediante demostraciones prácticas, la manera de identificar y explotar inyección de comandos.
Como profesionales en ciberseguridad, se tiene la única responsabilidad de encontrar y entender las vulnerabilidades presentes en la organización, para luego trabajar diligentemente en mitigarlas antes de estas sean aprovechadas por los atacantes maliciosos. Este curso abarca las herramientas, técnicas y metodologías para realizar pruebas de penetración contra redes y sistemas, y así estar en la capacidad de realizar proyectos de pruebas de penetración exitosamente. Todas las organizaciones necesitan personal experimentado en seguridad de la información, quienes puedan encontrar vulnerabilidades y mitigar sus efectos. Con este curso se estará en la capacidad de realizar pruebas de penetración y hacking ético, aplicando los conocimientos, herramientas, y técnicas explicadas detalladamente. Consecuentemente descubrir y explotar vulnerabilidades en entornos reales, demostrando así todos los conocimientos adquiridos.
Este curso enseña a los participantes como realizar un reconocimiento detallado, analizado profundamente la infraestructura a evaluar mediante motores de búsqueda, redes sociales y otras fuentes de información para Internet e Intranet. Luego se escanean las redes utilizando las mejores herramientas disponibles. Se abarcan las mejores opciones, configuraciones y capacidades de las herramientas para realizar pruebas de penetración. Se exponen diversos métodos de explotación para ganar acceso hacia los sistemas vulnerables, y de esta manera medir el riesgo real para la organización. Después se realizan acciones posteriores a la explotación y ataques a contraseñas. Todos los ataques se desarrollan en un laboratorio de pruebas controlado.
Como parte de la familia Nessus, Nessus Essentials (anteriormente Nessus Home) permite escanear un entorno (hasta dieciséis direcciones IP por escáner), con las mismas evaluaciones profundas y de alta velocidad, además de la misma conveniencia para un escaneo sin agente del cual disfrutan los suscriptores de Nessus. Tener en consideración Nessus Essentials no permite realizar comprobaciones para cumplimiento o auditorías de contenido. Este Webinar expone mediante demostraciones prácticas, las principales funcionalidades y características incluidas en Nessus Essentials.
Las aplicaciones web modernas tienen un rol muy importante en todas las organizaciones. Pero si la organización no tiene la capacidad de evaluar y asegurar adecuadamente sus aplicaciones web, los ciberatacantes podrían comprometer estas aplicaciones, afectando el funcionamiento normal de la empresa, como también robar datos sensibles. Desafortunadamente muchas organizaciones operan bajo la errónea percepción, de un escáner de seguridad para aplicaciones web es la manera más fiable de descubrir fallas en sus sistemas. Las ciberdefensas modernas requieren una comprensión realista y profunda de los problemas de seguridad relacionadas con la aplicación web. Cualquiera puede aprender a realizar algunos tipos de ataques contra la web, pero una prueba de penetración efectiva contra aplicaciones web requiere un conocimiento más profundo.
Este curso enseña a los participantes a entender las principales fallas encontradas en las aplicaciones web, como también a identificar y explotarlas con el propósito de demostrar el potencial impacto hacia la empresa. Los profesionales en seguridad de la información frecuentemente se esfuerzan en ayudar a las organizaciones a entender su riesgo en términos de la empresa. Ejecutar elaborados e impresionantes ataques tiene poco valor si la organización no toma en serio su riesgo, y despliega las medidas correctivas adecuadas. El propósito de este curso es mejorar la seguridad de las organizaciones a través de una prueba de penetración, y no solo demostrar las habilidades de Hacking. Este curso ayuda a los participantes a demostrar el verdadero impacto de las fallas en las aplicaciones web, no únicamente a través de la explotación, sino también a través de una adecuada documentación y reporte.
Las Aplicaciones Web actualmente son utilizadas en los más diversos ámbitos, desde realizar una búsqueda en Google, revisar una red social como Facebook, comprar en Internet, o ingresar hacia servicios en linea proporcionados por las organizaciones o empresas. Sencillamente es todo aquello fundamentalmente relacionado con el protocolo HTTP/S. Este Webinar expone ejemplos prácticos sobre como explotar las vulnerabilidades más comunes en aplicaciones web (SQLi, XSS, CSRF).
Un programa de Bug Bounty o recompensa por fallas, es un acuerdo ofrecido por muchos sitios web, organizaciones, y desarrolladores de software, por el cual los profesionales en hacking reciben un reconocimiento y compensación económica por descubrir y reportar con éxito fallas, especialmente aquellas relacionadas con vulnerabilidades y explotación en ciberseguridad.
Los profesionales en hacking a nivel mundial cazan fallas, y en algunos casos obtienen ingresos económicos a tiempo completo. Los programas de bug bounty atraen una amplia diversidad de profesionales con diferentes niveles de habilidades y experiencia, lo cual permite a las empresas aprovecharse de pruebas factibles de ser utilizadas por equipos de seguridad menos experimentados para identificar vulnerabilidades.
Los programas de recompensas frecuentemente complementan las pruebas de penetración, y proporcionan una manera para las organizaciones prueben la seguridad de sus aplicaciones a través de un ciclo de vida para desarrollo.
El propósito del curso es proporcionar a los participantes los conocimientos necesarios para convertir su interés en ciberseguridad, en una actividad divertida y rentable. Aplicando los conocimientos adquiridos para centrarse en descubrir vulnerabilidades en entornos reales.
El avance de la tecnología e Internet ha revolucionado la forma en la cual las organizaciones realizan sus negocios. Esta evolución consecuentemente genera también actividades maliciosas. La creciente amenaza de los ciberataques contra infraestructuras críticas, centros de datos, sector privado y público, defensa, energía, gobierno y finanzas, son un reto para todos los involucrados, desde una persona hasta las grandes empresas. Estos ciberataques utilizan software malicioso (también conocido como Malware ) para realizar robo financiero, espionaje, sabotaje, robo de propiedad intelectual, o por motivos políticos.
Dado el hecho los ciberdelincuentes son cada vez más sofisticados y realizan ataques de malware avanzados, detectar y responder a estas intrusiones es fundamental para los profesionales en ciberseguridad. El análisis de malware se ha convertido en una habilidad imprescindible para enfrentar el malware avanzado y los ataques dirigidos. El análisis de malware requiere un conocimiento equilibrado de muchas habilidades y temas diferentes.
Este curso proporciona los conceptos, herramientas y técnicas para comprender el comportamiento y las características de malware para Windows, realizando análisis de malware. Para comprender mejor los conceptos, se utilizan ejemplos y demostraciones prácticas durante todo el curso. Además se proporciona suficiente información para comprender los conceptos necesarios. Este curso ayuda a iniciarse en el ámbito del análisis de Malware, o si tiene experiencia en este campo, ayudará a mejorar conocimientos.
Los procesos para la automatización industrial, utilizan sistemas de control industrial (ICS) y sistemas de control para la supervisión y adquisición de datos (SCADA), con el propósito de controlar procesos industriales de forma local o remota, además de vigilar, recopilar, y procesar datos en tiempo real.
ICS / SCADA se han convertido en objetivos de alta prioridad para los ciberatacantes. Con la naturaleza dinámica de los sistemas de control industrial, muchos profesionales no comprenden completamente las características y los riesgos de muchos dispositivos. Además personal TI para soporte, quien proporciona las vías de comunicación y defensas de la red, no siempre comprende los controladores y limitaciones operacionales de los sistemas.
Este curso proporciona un conjunto sólido de conocimientos y habilidades estandarizadas para los profesionales en ciberseguridad. Estando dirigido para todos aquellos involucrados con los sistemas de control industrial, para estén en la capacidad de mantener el entorno a salvo, seguro, y con resiliencia ante las amenazas actuales y emergentes. Paralelamente se aborda la necesidad de los profesionales involucrados con los sistema de control industrial, comprendan mejor el importante rol el cual desempeñan en ciberseguridad. Y esto empieza garantizando un sistema de control sea diseñado con la ciberseguridad incorporada, además de tener el mismo nivel de atención de la fiabilidad del sistema a lo largo de su ciclo de vida.
El software inseguro está minando las infraestructuras críticas financieras, de salud, defensa, energía y otras. Conforme el software incrementa su complejidad y capacidad de conexión, la dificultad para alcanzar la seguridad en las aplicaciones se incrementa de manera exponencial. El veloz ritmo de los procesos modernos para el desarrollo del software, hacen los riesgos más comunes sean esenciales de descubrir y resolver rápidamente de manera precisa. Ya no es permisible tolerar problemas de seguridad relativamente simples como los presentados en este OWASP TOP 10.
Aunque el objetivo original del proyecto OWASP TOP 10 fue simplemente crear conciencia entre los desarrolladores y gerentes, se ha convertido en un estándar de facto para seguridad en aplicaciones.
En esta nueva versión del OWASP TOP 10 2017, los problemas y recomendaciones están escritas de una forma concisa y de manera comprobable, para ayudar con la adopción del OWASP TOP 10 en los programas de seguridad en aplicaciones. Se alienta a las organizaciones a utilizar el Estándar de Verificación para la Seguridad de Aplicaciones (ASVS) de OWASP si se requiere un verdadero estándar, pero para la mayoría el OWASP TOP 10 es un gran inicio en el camino de la seguridad en aplicaciones.
Como profesionales en ciberseguridad, se tiene la única responsabilidad de encontrar y entender las vulnerabilidades presentes en la organización, para luego trabajar diligentemente en mitigarlas antes de estas sean aprovechadas por los atacantes maliciosos. Este curso abarca las herramientas, técnicas y metodologías para realizar pruebas de penetración contra redes y sistemas, y así estar en la capacidad de realizar proyectos de pruebas de penetración exitosamente. Todas las organizaciones necesitan personal experimentado en seguridad de la información, quienes puedan encontrar vulnerabilidades y mitigar sus efectos. Con este curso se estará en la capacidad de realizar pruebas de penetración y hacking ético, aplicando los conocimientos, herramientas, y técnicas explicadas detalladamente. Consecuentemente descubrir y explotar vulnerabilidades en entornos reales, demostrando así todos los conocimientos adquiridos.
Este curso enseña a los participantes como realizar un reconocimiento detallado, analizado profundamente la infraestructura a evaluar mediante motores de búsqueda, redes sociales y otras fuentes de información para Internet e Intranet. Luego se escanean las redes utilizando las mejores herramientas disponibles. Se abarcan las mejores opciones, configuraciones y capacidades de las herramientas para realizar pruebas de penetración. Se exponen diversos métodos de explotación para ganar acceso hacia los sistemas vulnerables, y de esta manera medir el riesgo real para la organización. Después se realizan acciones posteriores a la explotación y ataques a contraseñas. Todos los ataques se desarrollan en un laboratorio de pruebas controlado.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
1. Webinar Gratuito
Zed Attack Proxy
Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético, Informática Forense & GNU/Linux
Sitio Web: http://www.ReYDeS.com
e-mail: ReYDeS@gmail.com
Jueves 24 de Octubre del 2013
2. ¿Quién Soy?
•
Consultor e Instructor Independiente en Hacking Ético, Informática
Forense y GNU/Linux.
•
Ex Integrante de RareGaZz y actual integrante de PeruSEC.
•
Ex Redactor en la Revista Linux+ DVD (ES).
•
•
Creador del II Reto Forense Digital Sudamericano - Chavin de
Huantar 2012.
Brainbench Certified Network Security, Brainbench Certified
Computer Forensics (U.S.) & Brainbench Certified Linux
Administration (General). CNHE, CNCF, CNHAW.
•
Más de 11 años de experiencia en el área.
•
Twitter: @Alonso_ReYDeS
•
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada/
3. ¿Qué es Zed Attack Proxy?
Zed Attack Proxy (ZAP) es un herramienta integrada para pruebas
de penetración, la cual permite encontrar vulnerabilidades en las
aplicaciones web.
Está diseñada para ser utilizada por personas con un amplio
espectro de experiencia en seguridad, siendo también ideal para
desarrolladores y personas que realizan pruebas funcionales y que
son nuevos en los temas de pruebas de penetración.
ZAP proporciona escaners automáticos como también un conjunto
de herramientas para encontrar vulnerabilidades en seguridad de
manera manual.
Entre las características más resaltantes de ZAP se pueden
enumerar, es Open Source, Multiplataforma, fácil de instalar,
completamente libre, facilidad de uso, páginas ayuda completas,
traducido a 20 lenguajes, basado en la comunidad y que está e
desarrollo activo.
* ZAP - https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
4. Funcionalidades de ZAP
●
Proxy de Interceptación.
●
Escaner Automático
●
Escaner Pasivo
●
Navegación Forzada
●
Fuzzer
●
Certificados SSL Dinámicos
●
Soporte para “Web Sockets”
●
Soporte para un amplio rango de lenguajes de scripting
●
Soporte Plug-n-Hack
* https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project#tab=Functionality
5. Proxy de Interceptación
ZAP es un proxy de interceptación. El cual permite observar todas
las solicitudes que se realizan a la aplicación web y todas las
respuestas que se reciben desde esta.
Se puede definir además “Break Points” los cuales permiten cambiar
las solicitudes y respuestas al vuelo.
“Break Points”
Permiten interceptar una solicitud desde el navegador y cambiarlo
antes de que sea enviado a la aplicación en evaluación. También se
pueden cambiar las respuestas recibidas desde la aplicación. La
solicitud o respuesta será mostrada en la pestaña de “Break” el cual
permite cambiar campos ocultos o deshabilitados, permitiendo evitar
o sobrepasar validaciones en el lado del cliente. El cual es una
técnica esencial en las pruebas de penetración
* http://code.google.com/p/zaproxy/wiki/HelpStartConceptsIntercept
* http://code.google.com/p/zaproxy/wiki/HelpStartConceptsBreakpoints
6. Una Prueba de Penetración Básica
Explorar:
Usar el navegador para explorar todas las funcionalidades
proporcionadas por la aplicación. Seguir los enlaces, presionar
todos los botones y llenar y enviar todos los formularios. Si las
aplicaciones soportan varios roles, además se debe hacer esto con
cada rol. Para cada rol se debe guardar una sesión diferente de ZAP
en un archivo e iniciar una nueva sesión antes de de empezar a
utilizar el siguiente rol.
Spider:
Utilizar la “Araña” para encontrar URLs que se han perdido o que
están ocultas. También se puede utilizar la “Araña AJAX” para
mejorar los resultados y capturar los enlaces construidos de manera
dinámica. Y explorar cualquier enlace encontrado.
* http://code.google.com/p/zaproxy/wiki/HelpPentestPentest
7. Una Prueba de Penetración Básica
Navegación Forzada:
Utilizar el escaner de navegación forzada para encontrar archivos y
directorios sin ninguna referencia.
Escaneo Activo:
Utilizar el escaner activo para encontrar vulnerabilidades sencillas.
Prueba Manual:
Las anteriores pruebas pueden encontrar vulnerabilidades sencillas.
Sin embargo para encontrar más vulnerabilidades se hace
necesario evaluar manualmente la aplicación. Se puede utilizar para
este propósito la Guía de Pruebas de OWASP.
* http://code.google.com/p/zaproxy/wiki/HelpPentestPentest
* https://www.owasp.org/index.php/OWASP_Testing_Project
8. Curso Online de Hacking Aplicaciones Web
(Último Curso)
Días:
Sábados 26 de Octubre, 2, 9 y 16 de Noviembre del 2013
Horario:
De 9:00am a 12:30 (UTC -05:00)
Más Información:
http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web
Correo electrónico: caballero.alonso@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: http://pe.linkedin.com/in/alonsocaballeroquezada/
Skype: ReYDeS
Sitio Web: http://www.reydes.com