Este documento presenta una charla sobre cómo son hackeados los sitios web. Explica los diferentes tipos de ataques, incluyendo ataques dirigidos y oportunistas. Describe el flujo típico de un ataque, que incluye reconocimiento, identificación, explotación de vulnerabilidades, sustentabilidad y compromiso. También analiza varios vectores de ataque comunes como vulnerabilidades de software, control de acceso, contaminación cruzada de sitios e integración con aplicaciones de terceros. El documento concluye con consejos sobre
Mi presentación en el WordCamp Managua 2017. Una explicación sobre que son las Listas Negras, como afectan tu sitio web y como quitar tu sitio de estas listas.
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
Curso especializado de seguridad para aplicaciones web y aplicacione móviles, de e-Securing C.A. Dictado por Mauro Maulini R. - Toda la información que los desarrolladores, programadores y expertos en seguridad de sistemas informáticos deben conocer para prevenir que sus aplicaciones web o móviles sean vulneradas, y los costos directos u ocultos que de ello deriva.
Kharron Reid has experience in web development since 1998 and has worked for companies developing mobile apps using APIs. The document discusses using the WordPress REST API to build mobile apps by creating a WordPress site, adding plugins like ACF to REST API, and then building a mobile app that connects to and pulls posts from the WordPress site using the API. Examples are provided of building a WordPress site, testing the API, and then steps to create a mobile app project that fetches the post responses to display. Examples are given of companies already using the WordPress API for mobile apps.
Convierte tu WordPress en una app con React NativeJoan Artés
React Native nos permite desarrollar de una forma ágil aplicaciones tanto para iOS y Android compartiendo el 80% del código para ambas plataformas. Gracias a la REST Api de WordPress podremos convertir nuestro blog en una app de una manera fácil.
Como limpiar sitios WordPress hackiados #WCCRSucuri
Este documento proporciona una guía de tres pasos para limpiar sitios web de WordPress que han sido hackeados: 1) Identificar el hack escaneando el sitio y verificando la integridad de archivos y usuarios, 2) Remover el malware eliminando archivos y tablas dañadas y protegiendo cuentas de usuario, 3) Mejorar la seguridad actualizando software, reestableciendo contraseñas, endureciendo el sitio y realizando respaldos regulares. El objetivo es ayudar a los propietarios de sitios a ident
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
Este documento proporciona un resumen de las vulnerabilidades comunes en sitios web y métodos para realizar pruebas de penetración. Explica que las aplicaciones web pueden ser vulnerables a ataques si no se implementan controles de seguridad adecuados. Luego describe las 10 vulnerabilidades más críticas según OWASP, incluyendo inyección, problemas de autenticación y sesiones, cross-site scripting y configuraciones erróneas. Finalmente, detalla la metodología para realizar pruebas de penetración, incluyendo f
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...amaulini
Este documento presenta el contenido y objetivos de un curso sobre seguridad para aplicaciones web y móviles. El curso busca mejorar la capacitación de desarrolladores en procesos de seguridad como la prevención y detección de ataques. Cubrirá temas como vulnerabilidades comunes, técnicas de hacking, seguridad móvil y cómo prevenir ataques. El curso durará aproximadamente 20 horas e incluirá ejemplos prácticos y ejercicios utilizando aplicaciones deliberadamente vulnerables.
Mi presentación en el WordCamp Managua 2017. Una explicación sobre que son las Listas Negras, como afectan tu sitio web y como quitar tu sitio de estas listas.
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
Curso especializado de seguridad para aplicaciones web y aplicacione móviles, de e-Securing C.A. Dictado por Mauro Maulini R. - Toda la información que los desarrolladores, programadores y expertos en seguridad de sistemas informáticos deben conocer para prevenir que sus aplicaciones web o móviles sean vulneradas, y los costos directos u ocultos que de ello deriva.
Kharron Reid has experience in web development since 1998 and has worked for companies developing mobile apps using APIs. The document discusses using the WordPress REST API to build mobile apps by creating a WordPress site, adding plugins like ACF to REST API, and then building a mobile app that connects to and pulls posts from the WordPress site using the API. Examples are provided of building a WordPress site, testing the API, and then steps to create a mobile app project that fetches the post responses to display. Examples are given of companies already using the WordPress API for mobile apps.
Convierte tu WordPress en una app con React NativeJoan Artés
React Native nos permite desarrollar de una forma ágil aplicaciones tanto para iOS y Android compartiendo el 80% del código para ambas plataformas. Gracias a la REST Api de WordPress podremos convertir nuestro blog en una app de una manera fácil.
Como limpiar sitios WordPress hackiados #WCCRSucuri
Este documento proporciona una guía de tres pasos para limpiar sitios web de WordPress que han sido hackeados: 1) Identificar el hack escaneando el sitio y verificando la integridad de archivos y usuarios, 2) Remover el malware eliminando archivos y tablas dañadas y protegiendo cuentas de usuario, 3) Mejorar la seguridad actualizando software, reestableciendo contraseñas, endureciendo el sitio y realizando respaldos regulares. El objetivo es ayudar a los propietarios de sitios a ident
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
Este documento proporciona un resumen de las vulnerabilidades comunes en sitios web y métodos para realizar pruebas de penetración. Explica que las aplicaciones web pueden ser vulnerables a ataques si no se implementan controles de seguridad adecuados. Luego describe las 10 vulnerabilidades más críticas según OWASP, incluyendo inyección, problemas de autenticación y sesiones, cross-site scripting y configuraciones erróneas. Finalmente, detalla la metodología para realizar pruebas de penetración, incluyendo f
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...amaulini
Este documento presenta el contenido y objetivos de un curso sobre seguridad para aplicaciones web y móviles. El curso busca mejorar la capacitación de desarrolladores en procesos de seguridad como la prevención y detección de ataques. Cubrirá temas como vulnerabilidades comunes, técnicas de hacking, seguridad móvil y cómo prevenir ataques. El curso durará aproximadamente 20 horas e incluirá ejemplos prácticos y ejercicios utilizando aplicaciones deliberadamente vulnerables.
Betabeers Sevilla - Hacking web con OWASPzekivazquez
Este documento presenta una introducción al Open Web Application Security Project (OWASP) y sus herramientas para la seguridad de aplicaciones web. Explica el OWASP Testing Guide, que proporciona una metodología para realizar pruebas de seguridad en diferentes etapas del ciclo de vida del desarrollo web. También describe varias herramientas OWASP como ZAP, Nikto y SQLMap que automatizan la detección de vulnerabilidades comunes como inyecciones SQL y cross-site scripting.
Este documento habla sobre la seguridad web con software libre. Explica aspectos básicos como vulnerabilidades comunes como XSS e inyección SQL. También cubre herramientas de software libre como OWASP y Wapiti para auditorías de seguridad. Finalmente, ofrece consejos como mantener actualizaciones, cambiar contraseñas regularmente, y realizar pruebas de penetración periódicas.
En la actualidad todos nosotros confiamos en las aplicaciones web para realizar diversas tareas diarias, ya sea en el trabajo, en casa, o para diversión; siendo posible accederlas numerosas veces al día desde; utilizando laptops, computadoras, tablets, teléfonos inteligentes, y otros dispositivos. Estas aplicaciones web son utilizadas para realizar compras, transacciones bancarias, pagos de cuentas, interactuar a través de redes sociales, y muchos otros propósitos. El problema con las aplicaciones web es no ser tan seguras como se piensa, y la mayoría de las veces los ataques utilizados para ganar acceso son relativamente sencillos y simples. De hecho cualquiera puede utilizar herramientas de hacking para realizar ataques devastadores.
Este curso enseña a los participantes como realizar evaluaciones de seguridad contra aplicaciones web, de tal manera se pueda también prevenir los ataques. Se abarca la teoría, herramientas, y tecnologías utilizadas para identificar y explotar las vulnerabilidades web más frecuentes y dañinas presentes en las aplicaciones web. Esto significa tener la capacidad de obtener información sensible desde una base de datos, evadir una página de autenticación, o realizar la suplantación de usuarios. Se aprenderá sobre la selección del objetivo a evaluar, como realizar los ataques, cuales herramientas son necesarias, y como utilizarlas adecuadamente.
Las aplicaciones web modernas tienen un rol muy importante en todas las organizaciones. Pero si la organización no tiene la capacidad de evaluar y asegurar adecuadamente sus aplicaciones web, los ciberatacantes podrían comprometer estas aplicaciones, afectando el funcionamiento normal de la empresa, como también robar datos sensibles. Desafortunadamente muchas organizaciones operan bajo la errónea percepción, de un escáner de seguridad para aplicaciones web es la manera más fiable de descubrir fallas en sus sistemas. Las ciberdefensas modernas requieren una comprensión realista y profunda de los problemas de seguridad relacionadas con la aplicación web. Cualquiera puede aprender a realizar algunos tipos de ataques contra la web, pero una prueba de penetración efectiva contra aplicaciones web requiere un conocimiento más profundo.
Este curso enseña a los participantes a entender las principales fallas encontradas en las aplicaciones web, como también a identificar y explotarlas con el propósito de demostrar el potencial impacto hacia la empresa. Los profesionales en seguridad de la información frecuentemente se esfuerzan en ayudar a las organizaciones a entender su riesgo en términos de la empresa. Ejecutar elaborados e impresionantes ataques tiene poco valor si la organización no toma en serio su riesgo, y despliega las medidas correctivas adecuadas. El propósito de este curso es mejorar la seguridad de las organizaciones a través de una prueba de penetración, y no solo demostrar las habilidades de Hacking. Este curso ayuda a los participantes a demostrar el verdadero impacto de las fallas en las aplicaciones web, no únicamente a través de la explotación, sino también a través de una adecuada documentación y reporte.
Las aplicaciones web modernas tienen un rol muy importante en todas las organizaciones. Pero si la organización no tiene la capacidad de evaluar y asegurar adecuadamente sus aplicaciones web, los ciberatacantes podrían comprometer estas aplicaciones, afectando el funcionamiento normal de la empresa, como también robar datos sensibles. Desafortunadamente muchas organizaciones operan bajo la errónea percepción, de un escáner de seguridad para aplicaciones web es la manera más fiable de descubrir fallas en sus sistemas. Las ciberdefensas modernas requieren una comprensión realista y profunda de los problemas de seguridad relacionadas con la aplicación web. Cualquiera puede aprender a realizar algunos tipos de ataques contra la web, pero una prueba de penetración efectiva contra aplicaciones web requiere un conocimiento más profundo.
Este curso enseña a los participantes a entender las principales fallas encontradas en las aplicaciones web, como también a identificar y explotarlas con el propósito de demostrar el potencial impacto hacia la empresa. Los profesionales en seguridad de la información frecuentemente se esfuerzan en ayudar a las organizaciones a entender su riesgo en términos de la empresa. Ejecutar elaborados e impresionantes ataques tiene poco valor si la organización no toma en serio su riesgo, y despliega las medidas correctivas adecuadas. El propósito de este curso es mejorar la seguridad de las organizaciones a través de una prueba de penetración, y no solo demostrar las habilidades de Hacking. Este curso ayuda a los participantes a demostrar el verdadero impacto de las fallas en las aplicaciones web, no únicamente a través de la explotación, sino también a través de una adecuada documentación y reporte.
Las aplicaciones web modernas tienen un rol muy importante en todas las organizaciones. Pero si la organización no tiene la capacidad de evaluar y asegurar adecuadamente sus aplicaciones web, los ciberatacantes podrían comprometer estas aplicaciones, afectando el funcionamiento normal de la empresa, como también robar datos sensibles. Desafortunadamente muchas organizaciones operan bajo la errónea percepción, de un escáner de seguridad para aplicaciones web es la manera más fiable de descubrir fallas en sus sistemas. Las ciberdefensas modernas requieren una comprensión realista y profunda de los problemas de seguridad relacionadas con la aplicación web. Cualquiera puede aprender a realizar algunos tipos de ataques contra la web, pero una prueba de penetración efectiva contra aplicaciones web requiere un conocimiento más profundo.
Este curso enseña a los participantes a entender las principales fallas encontradas en las aplicaciones web, como también a identificar y explotarlas con el propósito de demostrar el potencial impacto hacia la empresa. Los profesionales en seguridad de la información frecuentemente se esfuerzan en ayudar a las organizaciones a entender su riesgo en términos de la empresa. Ejecutar elaborados e impresionantes ataques tiene poco valor si la organización no toma en serio su riesgo, y despliega las medidas correctivas adecuadas. El propósito de este curso es mejorar la seguridad de las organizaciones a través de una prueba de penetración, y no solo demostrar las habilidades de Hacking. Este curso ayuda a los participantes a demostrar el verdadero impacto de las fallas en las aplicaciones web, no únicamente a través de la explotación, sino también a través de una adecuada documentación y reporte.
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
Este documento describe varias máquinas vulnerables y aplicaciones web defectuosas que pueden usarse para propósitos educativos de hacking ético, como bWAPP, OWASP Broken Web Applications Project, y máquinas en Vulnhub. También presenta a Alonso Eduardo Caballero Quezada, un instructor experto en hacking ético e informática forense que ofrece varios cursos y demostraciones sobre estos temas.
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
Descripción:
Se explicarán las cuatro fases del proceso de pruebas de penetración contra aplicaciones web. Se inicia examinando la perspectiva mental del atacante. Las partes de una Prueba de Penetración y definición de su alcance. La primeras fases del reconocimiento y mapeo del proceso proporcionan los fundamenteos necesarios para controlar la aplicación. En la fase de descubrimiento se exponen diversas debilidades dentro de las aplicaciones. Además de mapear los vectores de ataque a utilizar contra la aplicación. El descubrimiento también se enfoca en los componentes del lado del cliente. En la fase final de explotación se lanzan los ataques planificados y creados durante las tres fases previas.
Objetivo:
El objetivo de este Taller Virtual es proporcionar al participante una introducción a las Pruebas de Penetración contra Aplicaciones Web. Para este propósito se expondrá la teoría con ayuda de ejercicios y ejemplos prácticos utilizando máquinas virtuales y las diferentes herramientas incluidas en Samurai WTF.
Este documento presenta un webinar gratuito sobre reconocimiento web dictado por Alonso Eduardo Caballero Quezada. Explica que el reconocimiento consiste en investigar la estructura y funcionamiento de un sitio web y sus aplicaciones para identificar vulnerabilidades. Se divide en reconocimiento de la infraestructura, como software y hardware del servidor, y reconocimiento de la aplicación, inspeccionando el contenido, componentes y flujo del sitio. También promueve cursos virtuales del orador y agradece la asistencia.
Las aplicaciones web tienen un rol importante en todas las organizaciones modernas. Pero si la organización no evalúa y asegura adecuadamente sus aplicaciones web, los atacantes maliciosos pueden comprometer estas aplicaciones, dañar la funcionalidad de la empresa, y robar datos. Desafortunadamente muchas organizaciones operan bajo la errada percepción, de confiar el descubrimiento de las fallas en sus sistemas a escaners automáticos de seguridad en aplicaciones web. No existe un parche o solución total para las aplicaciones web personalizadas, por lo tanto los atacantes maliciosos se orientan cada vez más en estos objetivos de alto valor.
En este curso se enseña a los participantes a entender las principales fallas en las aplicaciones web y su explotación;y lo más importante; aprender a realizar un proceso repetible y verificado en la realidad, para encontrar de manera consistente estas fallas en sus organizaciones. El participante aprenderá una metodología para pruebas de cuatro fases, además de la configuración y utilización de las herramientas para realizar pruebas satisfactorias. Comprender como se realiza la comunicación entre todas las partes involucradas en una aplicación web. Seleccionar y utilizar los diferentes métodos, además de técnicas para realizar los ataques más relevantes, como por ejemplo; Inyección de Comandos, Recorrido de Directorios, Inyección SQL, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), entre muchas vulnerabilidades más.
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
Este documento presenta un webinar gratuito sobre vulnerabilidades en aplicaciones web dictado por Alonso Eduardo Caballero Quezada. Brevemente describe al orador, sus credenciales y experiencia. Luego resume las vulnerabilidades más comunes en aplicaciones web como Cross-Site Scripting, SQL Injection y Cross Site Request Forgery según el proyecto OWASP. Finalmente, anuncia demostraciones prácticas y un curso online sobre hacking de aplicaciones web.
Este documento describe los pasos que las pequeñas y medianas empresas deben seguir para proteger su sitio web y tienda en línea. Primero, explica por qué es importante la ciberseguridad y los diferentes vectores de ataque que existen. Luego, detalla cómo seleccionar proveedores seguros para el desarrollo y alojamiento web, y los requisitos de seguridad que se deben exigir. Finalmente, cubre temas como cumplir con la legislación de privacidad, usar comunicaciones y métodos de pago seguros, y gestionar la
Este documento describe varias medidas para mejorar la ciberseguridad de las pequeñas y medianas empresas. Explica la importancia de proteger la web y tienda online de una empresa, ya que de ello depende su supervivencia en el entorno digital. Además, recomienda contratar desarrolladores y proveedores de alojamiento web comprometidos con la seguridad, cumplir con la legislación de protección de datos, utilizar comunicaciones y métodos de pago seguros, y adoptar medidas para asegurar el servidor y sistema de gestión de contenidos.
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu NegocioSucuri
¿Tu empresa es responsable de desarrollar, gestionar y optimizar sitios web para clientes? Tenemos un webinar para ti.
Garantizar la seguridad de los sitios web puede ser un reto, especialmente con una gran red de sitios. Queremos ayudarte a entender cómo crear un plan de seguridad, con el objetivo de reducir el riesgo de hacks e incidentes de seguridad.
En esta sesión, Victor cubrirá las implicaciones de una brecha de seguridad y el por qué la seguridad debe ser importante para tu agencia. Él demostrará un enfoque de seguridad en capas que podrás implementar por tu cuenta.
Aprende cómo contestar la pregunta: “¿Qué puedo hacer para reducir el riesgo cibernético para mi negocio y mis clientes?”
Open Web Application Security Project Top 10: OWASP con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.
1. OWASP es una comunidad abierta dedicada a mejorar la seguridad de aplicaciones web. Publica listas de vulnerabilidades comunes como la OWASP Top 10 y herramientas gratuitas como ZAP.
2. Algunas vulnerabilidades comunes incluyen configuraciones débiles, comunicaciones no encriptadas, y software desactualizado.
3. OWASP recomienda pruebas como la recopilación de información, pruebas de configuración, autenticación, autorización, validación de datos y denegación de servicio.
Un ataque de Cross-Siste Scripting es un tipo de inyección, en el cual scripts maliciosos son inyectados en un sitio web. Ocurre cuando un atacante utiliza una aplicación web para enviar código malicioso hacia un usuario diferente, generalmente en la forma de un script para el lado del navegador. Un ataque exitoso puede permitir acceder hacia las cookies, tokens de sesión u otra información sensible mantenida por el navegador web y utilizada con el sitio.
Este documento presenta una agenda sobre seguridad en bases de datos SQL 2016. Explica que los hackers pueden acceder a la información y que existen cinco fases de un ataque: reconocimiento, escaneo, acceso, mantener acceso y borrar huellas. Luego, cubre la seguridad a nivel de aplicación y base de datos en SQL 2016, incluyendo la configuración de SSL. El documento concluye agradeciendo la asistencia y proporcionando bibliografía adicional.
Betabeers Sevilla - Hacking web con OWASPzekivazquez
Este documento presenta una introducción al Open Web Application Security Project (OWASP) y sus herramientas para la seguridad de aplicaciones web. Explica el OWASP Testing Guide, que proporciona una metodología para realizar pruebas de seguridad en diferentes etapas del ciclo de vida del desarrollo web. También describe varias herramientas OWASP como ZAP, Nikto y SQLMap que automatizan la detección de vulnerabilidades comunes como inyecciones SQL y cross-site scripting.
Este documento habla sobre la seguridad web con software libre. Explica aspectos básicos como vulnerabilidades comunes como XSS e inyección SQL. También cubre herramientas de software libre como OWASP y Wapiti para auditorías de seguridad. Finalmente, ofrece consejos como mantener actualizaciones, cambiar contraseñas regularmente, y realizar pruebas de penetración periódicas.
En la actualidad todos nosotros confiamos en las aplicaciones web para realizar diversas tareas diarias, ya sea en el trabajo, en casa, o para diversión; siendo posible accederlas numerosas veces al día desde; utilizando laptops, computadoras, tablets, teléfonos inteligentes, y otros dispositivos. Estas aplicaciones web son utilizadas para realizar compras, transacciones bancarias, pagos de cuentas, interactuar a través de redes sociales, y muchos otros propósitos. El problema con las aplicaciones web es no ser tan seguras como se piensa, y la mayoría de las veces los ataques utilizados para ganar acceso son relativamente sencillos y simples. De hecho cualquiera puede utilizar herramientas de hacking para realizar ataques devastadores.
Este curso enseña a los participantes como realizar evaluaciones de seguridad contra aplicaciones web, de tal manera se pueda también prevenir los ataques. Se abarca la teoría, herramientas, y tecnologías utilizadas para identificar y explotar las vulnerabilidades web más frecuentes y dañinas presentes en las aplicaciones web. Esto significa tener la capacidad de obtener información sensible desde una base de datos, evadir una página de autenticación, o realizar la suplantación de usuarios. Se aprenderá sobre la selección del objetivo a evaluar, como realizar los ataques, cuales herramientas son necesarias, y como utilizarlas adecuadamente.
Las aplicaciones web modernas tienen un rol muy importante en todas las organizaciones. Pero si la organización no tiene la capacidad de evaluar y asegurar adecuadamente sus aplicaciones web, los ciberatacantes podrían comprometer estas aplicaciones, afectando el funcionamiento normal de la empresa, como también robar datos sensibles. Desafortunadamente muchas organizaciones operan bajo la errónea percepción, de un escáner de seguridad para aplicaciones web es la manera más fiable de descubrir fallas en sus sistemas. Las ciberdefensas modernas requieren una comprensión realista y profunda de los problemas de seguridad relacionadas con la aplicación web. Cualquiera puede aprender a realizar algunos tipos de ataques contra la web, pero una prueba de penetración efectiva contra aplicaciones web requiere un conocimiento más profundo.
Este curso enseña a los participantes a entender las principales fallas encontradas en las aplicaciones web, como también a identificar y explotarlas con el propósito de demostrar el potencial impacto hacia la empresa. Los profesionales en seguridad de la información frecuentemente se esfuerzan en ayudar a las organizaciones a entender su riesgo en términos de la empresa. Ejecutar elaborados e impresionantes ataques tiene poco valor si la organización no toma en serio su riesgo, y despliega las medidas correctivas adecuadas. El propósito de este curso es mejorar la seguridad de las organizaciones a través de una prueba de penetración, y no solo demostrar las habilidades de Hacking. Este curso ayuda a los participantes a demostrar el verdadero impacto de las fallas en las aplicaciones web, no únicamente a través de la explotación, sino también a través de una adecuada documentación y reporte.
Las aplicaciones web modernas tienen un rol muy importante en todas las organizaciones. Pero si la organización no tiene la capacidad de evaluar y asegurar adecuadamente sus aplicaciones web, los ciberatacantes podrían comprometer estas aplicaciones, afectando el funcionamiento normal de la empresa, como también robar datos sensibles. Desafortunadamente muchas organizaciones operan bajo la errónea percepción, de un escáner de seguridad para aplicaciones web es la manera más fiable de descubrir fallas en sus sistemas. Las ciberdefensas modernas requieren una comprensión realista y profunda de los problemas de seguridad relacionadas con la aplicación web. Cualquiera puede aprender a realizar algunos tipos de ataques contra la web, pero una prueba de penetración efectiva contra aplicaciones web requiere un conocimiento más profundo.
Este curso enseña a los participantes a entender las principales fallas encontradas en las aplicaciones web, como también a identificar y explotarlas con el propósito de demostrar el potencial impacto hacia la empresa. Los profesionales en seguridad de la información frecuentemente se esfuerzan en ayudar a las organizaciones a entender su riesgo en términos de la empresa. Ejecutar elaborados e impresionantes ataques tiene poco valor si la organización no toma en serio su riesgo, y despliega las medidas correctivas adecuadas. El propósito de este curso es mejorar la seguridad de las organizaciones a través de una prueba de penetración, y no solo demostrar las habilidades de Hacking. Este curso ayuda a los participantes a demostrar el verdadero impacto de las fallas en las aplicaciones web, no únicamente a través de la explotación, sino también a través de una adecuada documentación y reporte.
Las aplicaciones web modernas tienen un rol muy importante en todas las organizaciones. Pero si la organización no tiene la capacidad de evaluar y asegurar adecuadamente sus aplicaciones web, los ciberatacantes podrían comprometer estas aplicaciones, afectando el funcionamiento normal de la empresa, como también robar datos sensibles. Desafortunadamente muchas organizaciones operan bajo la errónea percepción, de un escáner de seguridad para aplicaciones web es la manera más fiable de descubrir fallas en sus sistemas. Las ciberdefensas modernas requieren una comprensión realista y profunda de los problemas de seguridad relacionadas con la aplicación web. Cualquiera puede aprender a realizar algunos tipos de ataques contra la web, pero una prueba de penetración efectiva contra aplicaciones web requiere un conocimiento más profundo.
Este curso enseña a los participantes a entender las principales fallas encontradas en las aplicaciones web, como también a identificar y explotarlas con el propósito de demostrar el potencial impacto hacia la empresa. Los profesionales en seguridad de la información frecuentemente se esfuerzan en ayudar a las organizaciones a entender su riesgo en términos de la empresa. Ejecutar elaborados e impresionantes ataques tiene poco valor si la organización no toma en serio su riesgo, y despliega las medidas correctivas adecuadas. El propósito de este curso es mejorar la seguridad de las organizaciones a través de una prueba de penetración, y no solo demostrar las habilidades de Hacking. Este curso ayuda a los participantes a demostrar el verdadero impacto de las fallas en las aplicaciones web, no únicamente a través de la explotación, sino también a través de una adecuada documentación y reporte.
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
Este documento describe varias máquinas vulnerables y aplicaciones web defectuosas que pueden usarse para propósitos educativos de hacking ético, como bWAPP, OWASP Broken Web Applications Project, y máquinas en Vulnhub. También presenta a Alonso Eduardo Caballero Quezada, un instructor experto en hacking ético e informática forense que ofrece varios cursos y demostraciones sobre estos temas.
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
Descripción:
Se explicarán las cuatro fases del proceso de pruebas de penetración contra aplicaciones web. Se inicia examinando la perspectiva mental del atacante. Las partes de una Prueba de Penetración y definición de su alcance. La primeras fases del reconocimiento y mapeo del proceso proporcionan los fundamenteos necesarios para controlar la aplicación. En la fase de descubrimiento se exponen diversas debilidades dentro de las aplicaciones. Además de mapear los vectores de ataque a utilizar contra la aplicación. El descubrimiento también se enfoca en los componentes del lado del cliente. En la fase final de explotación se lanzan los ataques planificados y creados durante las tres fases previas.
Objetivo:
El objetivo de este Taller Virtual es proporcionar al participante una introducción a las Pruebas de Penetración contra Aplicaciones Web. Para este propósito se expondrá la teoría con ayuda de ejercicios y ejemplos prácticos utilizando máquinas virtuales y las diferentes herramientas incluidas en Samurai WTF.
Este documento presenta un webinar gratuito sobre reconocimiento web dictado por Alonso Eduardo Caballero Quezada. Explica que el reconocimiento consiste en investigar la estructura y funcionamiento de un sitio web y sus aplicaciones para identificar vulnerabilidades. Se divide en reconocimiento de la infraestructura, como software y hardware del servidor, y reconocimiento de la aplicación, inspeccionando el contenido, componentes y flujo del sitio. También promueve cursos virtuales del orador y agradece la asistencia.
Las aplicaciones web tienen un rol importante en todas las organizaciones modernas. Pero si la organización no evalúa y asegura adecuadamente sus aplicaciones web, los atacantes maliciosos pueden comprometer estas aplicaciones, dañar la funcionalidad de la empresa, y robar datos. Desafortunadamente muchas organizaciones operan bajo la errada percepción, de confiar el descubrimiento de las fallas en sus sistemas a escaners automáticos de seguridad en aplicaciones web. No existe un parche o solución total para las aplicaciones web personalizadas, por lo tanto los atacantes maliciosos se orientan cada vez más en estos objetivos de alto valor.
En este curso se enseña a los participantes a entender las principales fallas en las aplicaciones web y su explotación;y lo más importante; aprender a realizar un proceso repetible y verificado en la realidad, para encontrar de manera consistente estas fallas en sus organizaciones. El participante aprenderá una metodología para pruebas de cuatro fases, además de la configuración y utilización de las herramientas para realizar pruebas satisfactorias. Comprender como se realiza la comunicación entre todas las partes involucradas en una aplicación web. Seleccionar y utilizar los diferentes métodos, además de técnicas para realizar los ataques más relevantes, como por ejemplo; Inyección de Comandos, Recorrido de Directorios, Inyección SQL, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), entre muchas vulnerabilidades más.
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
Este documento presenta un webinar gratuito sobre vulnerabilidades en aplicaciones web dictado por Alonso Eduardo Caballero Quezada. Brevemente describe al orador, sus credenciales y experiencia. Luego resume las vulnerabilidades más comunes en aplicaciones web como Cross-Site Scripting, SQL Injection y Cross Site Request Forgery según el proyecto OWASP. Finalmente, anuncia demostraciones prácticas y un curso online sobre hacking de aplicaciones web.
Este documento describe los pasos que las pequeñas y medianas empresas deben seguir para proteger su sitio web y tienda en línea. Primero, explica por qué es importante la ciberseguridad y los diferentes vectores de ataque que existen. Luego, detalla cómo seleccionar proveedores seguros para el desarrollo y alojamiento web, y los requisitos de seguridad que se deben exigir. Finalmente, cubre temas como cumplir con la legislación de privacidad, usar comunicaciones y métodos de pago seguros, y gestionar la
Este documento describe varias medidas para mejorar la ciberseguridad de las pequeñas y medianas empresas. Explica la importancia de proteger la web y tienda online de una empresa, ya que de ello depende su supervivencia en el entorno digital. Además, recomienda contratar desarrolladores y proveedores de alojamiento web comprometidos con la seguridad, cumplir con la legislación de protección de datos, utilizar comunicaciones y métodos de pago seguros, y adoptar medidas para asegurar el servidor y sistema de gestión de contenidos.
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu NegocioSucuri
¿Tu empresa es responsable de desarrollar, gestionar y optimizar sitios web para clientes? Tenemos un webinar para ti.
Garantizar la seguridad de los sitios web puede ser un reto, especialmente con una gran red de sitios. Queremos ayudarte a entender cómo crear un plan de seguridad, con el objetivo de reducir el riesgo de hacks e incidentes de seguridad.
En esta sesión, Victor cubrirá las implicaciones de una brecha de seguridad y el por qué la seguridad debe ser importante para tu agencia. Él demostrará un enfoque de seguridad en capas que podrás implementar por tu cuenta.
Aprende cómo contestar la pregunta: “¿Qué puedo hacer para reducir el riesgo cibernético para mi negocio y mis clientes?”
Open Web Application Security Project Top 10: OWASP con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.
1. OWASP es una comunidad abierta dedicada a mejorar la seguridad de aplicaciones web. Publica listas de vulnerabilidades comunes como la OWASP Top 10 y herramientas gratuitas como ZAP.
2. Algunas vulnerabilidades comunes incluyen configuraciones débiles, comunicaciones no encriptadas, y software desactualizado.
3. OWASP recomienda pruebas como la recopilación de información, pruebas de configuración, autenticación, autorización, validación de datos y denegación de servicio.
Un ataque de Cross-Siste Scripting es un tipo de inyección, en el cual scripts maliciosos son inyectados en un sitio web. Ocurre cuando un atacante utiliza una aplicación web para enviar código malicioso hacia un usuario diferente, generalmente en la forma de un script para el lado del navegador. Un ataque exitoso puede permitir acceder hacia las cookies, tokens de sesión u otra información sensible mantenida por el navegador web y utilizada con el sitio.
Este documento presenta una agenda sobre seguridad en bases de datos SQL 2016. Explica que los hackers pueden acceder a la información y que existen cinco fases de un ataque: reconocimiento, escaneo, acceso, mantener acceso y borrar huellas. Luego, cubre la seguridad a nivel de aplicación y base de datos en SQL 2016, incluyendo la configuración de SSL. El documento concluye agradeciendo la asistencia y proporcionando bibliografía adicional.
Similar a Como son los sitios web son hackiados (20)
HPE presenta una competició destinada a estudiants, que busca fomentar habilitats tecnològiques i promoure la innovació en un entorn STEAM (Ciència, Tecnologia, Enginyeria, Arts i Matemàtiques). A través de diverses fases, els equips han de resoldre reptes mensuals basats en àrees com algorísmica, desenvolupament de programari, infraestructures tecnològiques, intel·ligència artificial i altres tecnologies. Els millors equips tenen l'oportunitat de desenvolupar un projecte més gran en una fase presencial final, on han de crear una solució concreta per a un conflicte real relacionat amb la sostenibilitat. Aquesta competició promou la inclusió, la sostenibilitat i l'accessibilitat tecnològica, alineant-se amb els Objectius de Desenvolupament Sostenible de l'ONU.
La inteligencia artificial sigue evolucionando rápidamente, prometiendo transformar múltiples aspectos de la sociedad mientras plantea importantes cuestiones que requieren una cuidadosa consideración y regulación.
SOPRA STERIA presenta una aplicació destinada a persones amb discapacitat intel·lectual que busca millorar la seva integració laboral i digital. Permet crear currículums de manera senzilla i intuitiva, facilitant així la seva participació en el mercat laboral i la seva independència econòmica. Aquesta iniciativa no només aborda la bretxa digital, sinó que també contribueix a reduir la desigualtat proporcionant eines accessibles i inclusives. A més, "inCV" està alineat amb els Objectius de Desenvolupament Sostenible de l'Agenda 2030, especialment els relacionats amb el treball decent i la reducció de desigualtats.
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)codesiret
Los protocolos son conjuntos de
normas para formatos de mensaje y
procedimientos que permiten a las
máquinas y los programas de aplicación
intercambiar información.
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...AMADO SALVADOR
Descarga el Catálogo General de Tarifas 2024 de Vaillant, líder en tecnología para calefacción, ventilación y energía solar térmica y fotovoltaica. En Amado Salvador, como distribuidor oficial de Vaillant, te ofrecemos una amplia gama de productos de alta calidad y diseño innovador para tus proyectos de climatización y energía.
Descubre nuestra selección de productos Vaillant, incluyendo bombas de calor altamente eficientes, fancoils de última generación, sistemas de ventilación de alto rendimiento y soluciones de energía solar fotovoltaica y térmica para un rendimiento óptimo y sostenible. El catálogo de Vaillant 2024 presenta una variedad de opciones en calderas de condensación que garantizan eficiencia energética y durabilidad.
Con Vaillant, obtienes más que productos de climatización: control avanzado y conectividad para una gestión inteligente del sistema, acumuladores de agua caliente de gran capacidad y sistemas de aire acondicionado para un confort total. Confía en la fiabilidad de Amado Salvador como distribuidor oficial de Vaillant, y en la resistencia de los productos Vaillant, respaldados por años de experiencia e innovación en el sector.
En Amado Salvador, distribuidor oficial de Vaillant en Valencia, no solo proporcionamos productos de calidad, sino también servicios especializados para profesionales, asegurando que tus proyectos cuenten con el mejor soporte técnico y asesoramiento. Descarga nuestro catálogo y descubre por qué Vaillant es la elección preferida para proyectos de climatización y energía en Amado Salvador.
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)AbrahamCastillo42
Power point, diseñado por estudiantes de ciclo 1 arquitectura de plataformas, esta con la finalidad de dar a conocer el componente hardware llamado tarjeta de video..
para programadores y desarrolladores de inteligencia artificial y machine learning, como se automatiza una cadena de valor o cadena de valor gracias a la teoría por Manuel Diaz @manuelmakemoney
2. Organización de esta charla
COMO SON HACKIADOS LOS SITIOS WEB
1. ¿Quién es Salvador Aguilar?
2. ¿Para quien es esta charla?
3. Estadisticas generales
4. Tipos de infección & los impactos
5. Un ambiente complejo
6. Tipos de ataques
7. Flujo de los ataques
8. Vectores de ataque
9. ¿Pensando sobre seguridad?
10. Preguntas y respuestas
3. COMO SON HACKIADOS LOS SITIOS WEB
• Papá de un niño de 8 y una niña
de 1.5 años.
• Entusiasta de Wordpress.
• Con experiencia trabajando
para empresas como SEARS
Mexico, Site5.com & Sucuri.net
• Analista de seguridad en
Sucuri.net
• Implementadorde Wordpress
• CoFundador & SysAdmin de
SenorCoders.com
Quién es Salvador Aguilar?
4. Para quien es esta charla?
COMO SON HACKIADOS LOS SITIOS WEB
• Para cualquier persona que tiene un sitio web
• Para profesioanles que diseñan sitios web
• Para personas que han sido infectadas
• Para personas que tienen su stiio web en una lista negra
• Para personas que quieren saber como los hackiaron
• Para personas que quieren saber sobre los diferentes vectores de ataque
8. Estadísticas de Google
COMO SON HACKIADOS LOS SITIOS WEB
50 Millones de Warnings
Sitios web x semana en
Lista Negra x Malware
Sitios web x semana en
Lista Negra Phishing
20,000 50,000 95%
Reducción
de tráfico
9. Estadísticas sobre Plugins de Wordpress
COMO SON HACKIADOS LOS SITIOS WEB
• RevSlider representa el 10% del
total de las infecciones.
• El bug de TimThumb tiene 4
años de estar afectando sitios
web.
• El problema de RevSlider es que
viene incrustado en themes
pagados.
15. Un Ambiente Complejo
COMO SON HACKIADOS LOS SITIOS WEB
Computadora: Trojanos, keyloggers, computadora desenllavada, etc
LAN/WIF: Sniffers, traffic loggers, etc
User: Passwords inseguros, passwords en postips, agendas, etc.
17. Un Ambiente Complejo
COMO SON HACKIADOS LOS SITIOS WEB
Linux: bugs en kernel. Fingerprinting, password debil root.
Librerias: bus como Imagemagick, ssl, etc
Windows: bugs, fingerprinting.
PHP: bugs, write permissions. etc
21. Tienen alguna pregunta hasta ahora?
COMO SON HACKIADOS LOS SITIOS WEB
NO? Ok sigamos…
(hora de tomar un poco agua)
22. Tipos de ataque
COMO SON HACKIADOS LOS SITIOS WEB
• Ocurre 0.01% de las veces
• Hay un objetivo especifico
• No se conoce la vulnerabilidad al inicio, sino
que se define despues de pruebas
• Automatizadao Manual
• Alto nivel de expertise o habilidades
• Motivos personales: politicos,
rivales/competencia, odio, financieros.
• Ocurre 99.99% de las veces
• No hay un objetivo especifico
• Se ataca una vulnerabilidad especifica
conocida.
• Mayoritariamente automatizada
• Nivel bajo/intermedio de habilidades
• No es personal
Ataques Dirigidos Ataques Oportunistas
23. Flujo del ataque
COMO SON HACKIADOS LOS SITIOS WEB
Reconocimiento Identificación
Explotación de
vulnerabilidad
Sustentabilidad Compromiso Limpieza
24. Flujo del ataque
COMO SON HACKIADOS LOS SITIOS WEB
FASE ATAQUE DIRIGIDO ATAQUE OPORTUNISTA
RECONOCIMIENTO Explorar un ambiente especifico
Explorar la web por un problema
especifico
IDENTIFICACION
Identificar los posibles vectores de
ataque en la red
Ocurre en la fase de reconocimiento
EXPLOTACION DE VULNERABILIDAD
Explota vulnerabiliades basada en los
servicios que contenga el ambiente
Explota vulnerabilidades conocidas
SUSTENTABILIDAD Aseguramiento de que el atacante pueda seguir entrando al sistema
COMPROMISO Cumplir objectivo
LIMPIEZA
Reducir probabilidades de deteccion y
borar huellas
N/D
25. Flujo del ataque
COMO SON HACKIADOS LOS SITIOS WEB
FASE CONSIDERACIONES CONTROLES DE SEG.
RECONOCIMIENTO
¿Como estamos reduciendo la
superficie de ataque?
Desactivar servicios/sitios web sin uso,
puertos, aplicaciones.
IDENTIFICACION
¿Cómo sabemos que hay
vulnerabilidades?
Administración de Vulnerabilidades
(wpscan, sitecheck, etc)
EXPLOTACION DE VULNERABILIDAD
¿Cómo estámos mitigando los intentos
de explotar vulnerabilidades?
Usar un WAF/IPS basado en la nube
SUSTENTABILIDAD
¿Cómo sabemos que no hay
backdoors?
Usar sistemas IDS
COMPROMISO
¿Cómo sabemos que no estamos
comprometidos?
Usar IDS para revisar integridad del
sistema
LIMPIEZA
¿Estamos reteniendo las bitacoras
remotamente y backups?
Revision de logs y realización de
backups
26. ¿Cómo son hackiados los sitios web?
COMO SON HACKIADOS LOS SITIOS WEB
Control de Acceso
Vulnerabilidades
de Software
Contaminación
cruzada de sitios
Integración con
aplicaciones de
3ros
Hosting
27. Control de Acceso
COMO SON HACKIADOS LOS SITIOS WEB
• Se refiere al como se accesa a ciertas areas, lugares o cosas
• El control de Acceso a sitios web se extiende a todas las aplicaciones que brindanalgún tipo de acceso al
ambiente web
• Panel de control del CMS (WP-ADMIN)
• Panel control de hosting (cPanel, Plesk, Parallels, etc)
• Nodos de acceso (SSH, sFTP, Email, etc)
• Cuando pensemos en control de acceso, pensemos mas allá del sitio web o ambiente aplicativo.
• Los ataques al Control de Acceso vienen en forma de ataques bruteforce.
28. Vulnerabilidades de
Software
COMO SON HACKIADOS LOS SITIOS WEB
• Se refiere los bugs en el código de los aplicativos que pueden ser abusados. Incluyen cosas como:
• Inyección SQL, Cross-Site Scripting (XSS), Remote Code Execution (RCE), Remote File Intrusion (RFI), etc.
• Los CMS luchan con las vulnerabilidades de sus extensiones: plugins, temas, modulos, componentes, etc.
• Sugerencia familiarizarse con los proyectos y suscribirse a alertas de seguridad.
29. Contaminación
Cruzada de sitios web
COMO SON HACKIADOS LOS SITIOS WEB
• Se refiere al movimiento lateral de las infecciones una vez que entra a un servidor.
• Este es un ataque interno y no externo. El atacante entra al servidor a travez de un sitio vulnerable y luego lo
usa como pie de amigo para infectar el resto de lo sitios web en el servidor.
• Es la razón #1 para la reinfección de sitios web, los propiertarios de sitios web se de concentran en el sitio
web afectado y los sintomas, pero no revisan los sitios web que no muestran señales externas o visibles de
compromiso.
• Este método es super exitoso en los ambientes que no utilizan métodos funcionales de aislamient en el
servidor, o que usan los permisos o configuraciones incorrectas.
30. Integración con 3ros
COMO SON HACKIADOS LOS SITIOS WEB
• Se refiere un sin numero de cosas, pero últimamente lo más prevalente son los servicios de Anuncios (Ads) y
sus networks de anuncios asociados.
• Estas integraciones introducen un eslabon debil en la cadena de seguridad. Estos Networks de Anuncios son
atacados, infectados y utilizados para penetrar otros sitios web. Malvertising.
• Malvertising, es el acto de manipular los anunciospara distribuir malware, a menudo en la forma de
redireccionamiento maligno y downloads no solicitados.
• Son extremadamente dificiles de detectar debido a su naturaleza condicional, y que están fuera del ambiente
del sitio web.
31. Hosting
COMO SON HACKIADOS LOS SITIOS WEB
• Hace muchos años que no se ha dado un compromiso masivo de un proveedor de shared hosting grande. La
última vez fue GoDaddy en 2011 (.htaccess redirect )
• El mayor problema en nuestros días, no son estos proveedores, sino organizaciones que intentan ofrecer una
solución completa: Marketing, Desarrollo, Seguridad, Hosting, SEO, etc.
• Proveedores con poca experencia que introducen confusión y ruido un ecosistema de por si ya saturado.
• Saben lo suficiente para ser peligrosos, pero les faltan habilidades y conocimiento
• Contribuyen a un gran numero de contaminación cruzada debido a malas configuraciones.