Primera versión de Grode y primera versión de su presentación en sociedad. Grode es una herramienta de auditoria online para detección de vulnerabilidades en webs.
Herramientas para la medicion de desempeño PHPConMX 2012Carlos Nacianceno
Este documento describe varias herramientas para medir el desempeño de aplicaciones PHP, incluyendo Apache Benchmark para probar el rendimiento del servidor web, Siege para pruebas de carga, y las extensiones Zend Debugger y Xdebug para perfilado y análisis del desempeño de código PHP. El autor enfatiza la importancia de medir el desempeño antes de optimizar el código para identificar cuellos de botella reales.
Introducción al análisis estático de código en java para mejorar la calidad del software tomando como referencia mejores prácticas, estándares y optimización de código.
Incorporando la Seguridad de la Información en el Desarrollo de AplicacionesSoftware Guru
El documento habla sobre la importancia de incorporar la seguridad de la información en el desarrollo de aplicaciones. Explica que la seguridad debe ser parte de los requerimientos, el diseño y las pruebas de las aplicaciones para prevenir defectos. También recomienda realizar capacitación al personal de desarrollo, seguir guías de desarrollo seguro, y utilizar técnicas como revisiones de código y pruebas automatizadas para mejorar la seguridad.
Descripción:
Las vulnerabilidades de seguridad, tales como configuraciones incorrectas, sistemas sin parches, arquitecturas inadecuadas, continúan plagando las organizaciones. Las empresas necesitan personal que encuentre estas fallas de forma profesional, para erradicarlas de la infraestructura tecnológica. Algunas personas pueden tener habilidades en Pruebas de Penetración, Hacking Ético, o Evaluaciones de Seguridad, pero muy pocas pueden aplicar estas habilidades con un régimen metódico de evaluaciones profesionales para ayudar incrementar el nivel de seguridad en las organizaciones. Este curso enseña a los participantes la manera de realizar Pruebas de Penetración a redes de forma satisfactoria para mejorar la postura de seguridad de la empresa.
Objetivos:
Los participantes aprenderán a realizar un reconocimiento detallado, aprenderán sobre infraestructura del objetivo, mediante investigación en blogs, buscadores, y redes sociales. Luego se enfocará la atención en la fase de escaneo, experimentando con algunas herramientas en ejercicios prácticos. La fase de explotación incluye la utilización de Frameworks de explotación, exploits manuales y otras tácticas valiosas, todo realizado con ejercicios prácticos en un entorno de laboratorio controlado. El curso también mostrará como preparar un reporte ejecutivo. Durante el desarrollo del curso se incluyen ejercicios prácticos para realizar una prueba de penetración contra una organización hipotética, siguiendo todos las fases detalladas.
Herramientas para la medicion de desempeño PHPConMX 2012Carlos Nacianceno
Este documento describe varias herramientas para medir el desempeño de aplicaciones PHP, incluyendo Apache Benchmark para probar el rendimiento del servidor web, Siege para pruebas de carga, y las extensiones Zend Debugger y Xdebug para perfilado y análisis del desempeño de código PHP. El autor enfatiza la importancia de medir el desempeño antes de optimizar el código para identificar cuellos de botella reales.
Introducción al análisis estático de código en java para mejorar la calidad del software tomando como referencia mejores prácticas, estándares y optimización de código.
Incorporando la Seguridad de la Información en el Desarrollo de AplicacionesSoftware Guru
El documento habla sobre la importancia de incorporar la seguridad de la información en el desarrollo de aplicaciones. Explica que la seguridad debe ser parte de los requerimientos, el diseño y las pruebas de las aplicaciones para prevenir defectos. También recomienda realizar capacitación al personal de desarrollo, seguir guías de desarrollo seguro, y utilizar técnicas como revisiones de código y pruebas automatizadas para mejorar la seguridad.
Descripción:
Las vulnerabilidades de seguridad, tales como configuraciones incorrectas, sistemas sin parches, arquitecturas inadecuadas, continúan plagando las organizaciones. Las empresas necesitan personal que encuentre estas fallas de forma profesional, para erradicarlas de la infraestructura tecnológica. Algunas personas pueden tener habilidades en Pruebas de Penetración, Hacking Ético, o Evaluaciones de Seguridad, pero muy pocas pueden aplicar estas habilidades con un régimen metódico de evaluaciones profesionales para ayudar incrementar el nivel de seguridad en las organizaciones. Este curso enseña a los participantes la manera de realizar Pruebas de Penetración a redes de forma satisfactoria para mejorar la postura de seguridad de la empresa.
Objetivos:
Los participantes aprenderán a realizar un reconocimiento detallado, aprenderán sobre infraestructura del objetivo, mediante investigación en blogs, buscadores, y redes sociales. Luego se enfocará la atención en la fase de escaneo, experimentando con algunas herramientas en ejercicios prácticos. La fase de explotación incluye la utilización de Frameworks de explotación, exploits manuales y otras tácticas valiosas, todo realizado con ejercicios prácticos en un entorno de laboratorio controlado. El curso también mostrará como preparar un reporte ejecutivo. Durante el desarrollo del curso se incluyen ejercicios prácticos para realizar una prueba de penetración contra una organización hipotética, siguiendo todos las fases detalladas.
Fuzzing es una técnica para encontrar errores en software mediante la creación de entradas de datos semi-válidas. Se usa comúnmente para encontrar vulnerabilidades de seguridad. Existen diferentes tipos de fuzzers como automáticos, semi-automáticos y manuales, así como herramientas como mangle.c que han encontrado errores en software como FreeBSD y OpenBSD.
Este documento describe una investigación sobre la identificación y evasión de entornos de análisis sandbox. Los investigadores desarrollaron artefactos para recopilar información de varias sandbox y analizar su seguridad. Encontraron que algunas sandbox no ocultan bien su naturaleza y que es posible acceder a archivos de configuración. También pudieron identificar a los propietarios de algunas sandbox mediante vulnerabilidades de XSS. Concluyen que es posible obtener inteligencia sobre cómo funcionan las sandbox y evadir su detección.
Este documento describe brevemente a OWASP y el OWASP Top 10. OWASP es una comunidad abierta dedicada a ayudar a organizaciones a desarrollar, comprar y mantener aplicaciones seguras. Produce herramientas, literatura y controles de seguridad. El OWASP Top 10 es una lista de los 10 vulnerabilidades más críticas reportadas frecuentemente por empresas de seguridad, con el objetivo de educar a desarrolladores sobre las consecuencias de estas debilidades.
20180313 Keep Calm And Test Your Code RiojaDotNetalbertortizcape
Presentación para la RiojaDotNet sobre testing.
Enlaces de referencia:
--
Keep Calm And Unit Test Your Code
https://www.keepcalmandposters.com/poster/5829573_keep_calm_and_unit_test_your_code
--
TestPyramid
https://martinfowler.com/bliki/TestPyramid.html
--
The Practical Test Pyramid
https://martinfowler.com/articles/practical-test-pyramid.html
--
TestDouble
https://martinfowler.com/bliki/TestDouble.html
--
UnitTest
https://martinfowler.com/bliki/UnitTest.html
--
IntegrationTest
https://martinfowler.com/bliki/IntegrationTest.html
--
Unit Tests Are FIRST (Fast, Isolated, Repeatable, Self-Verifying, and Timely)
https://pragprog.com/magazines/2012-01/unit-tests-are-first
--
F.I.R.S.T Principles of Unit Testing
https://github.com/ghsukumar/SFDC_Best_Practices/wiki/F.I.R.S.T-Principles-of-Unit-Testing
--
Simulando las dependencias en las pruebas unitarias. Dummies vs Stubs vs Mocks vs Spies vs Fakes
http://www.javiergarzas.com/2015/09/dummies-vs-stubs-vs-mocks-vs-spies-vs-fakes.html
--
What's the difference between faking, mocking, and stubbing?
https://stackoverflow.com/questions/346372/whats-the-difference-between-faking-mocking-and-stubbing
--
Mocks Aren't Stubs
https://martinfowler.com/articles/mocksArentStubs.html
--
Java - How to use stubs in JUnit
https://stackoverflow.com/questions/31890991/java-how-to-use-stubs-in-junit
--
GivenWhenThen
https://martinfowler.com/bliki/GivenWhenThen.html
--
Conceptos básicos de prueba unitaria - Escribir las pruebas
https://msdn.microsoft.com/es-es/library/hh694602.aspx#Anchor_3
--
¿Qué es eso del testing exploratorio? ¿Y para qué me sirve?
http://www.javiergarzas.com/2015/01/testing-exploratorio-10-min.html
--
Naming Test Classes and Methods
https://codurance.com/2014/12/13/naming-test-classes-and-methods/
--
Rafa Gomez y Javier Ferrer - Clean Code, SOLID, CQRS... ¿Y qué hay de nuestros test? | BCN SWC 2017
https://www.youtube.com/watch?v=cw6Va1ZW7iI&list=PLKxa4AIfm4pXfHIuhB89H6TdUO8syJMui&index=3
--
Deconstruyendo la pirámide de los tests
http://blog.koalite.com/2014/05/deconstruyendo-la-piramide-de-los-tests/
--
No pierdas el tiempo escribiendo tests
http://blog.koalite.com/2017/11/no-pierdas-el-tiempo-escribiendo-tests/
--
NO automatices más Test de interfaz gráfica de usuario
http://www.javiergarzas.com/2016/06/14044.html
--
Just Say No to More End-to-End Tests
https://testing.googleblog.com/2015/04/just-say-no-to-more-end-to-end-tests.html
--
Commercial Fiat 500S – What bad boyS drive
https://www.youtube.com/watch?v=4ndyAlJN9Fk
Auditoria de redes, herramientas CASE .pptxGerenciaEfran
Son una serie de mecanismos mediante los cuales se prueba una Red Informática, evaluando su desempeño y seguridad, logrando una utilización más eficiente y Segura de la información
Este documento presenta información sobre el desarrollo de software multimedia, incluyendo las etapas del ciclo de vida del software, tipos de pruebas, errores comunes, y la importancia de garantizar la calidad. Describe las fases de definición de requisitos, diseño, implementación, pruebas y documentación necesarias para el desarrollo exitoso de aplicaciones multimedia. También explica diferentes tipos de pruebas como pruebas unitarias, de integración, alfa y beta para detectar errores de forma temprana.
Desde una aplicación web simple, previamente desarrollada, basada en la serie televisiva expediente X (X-Files), el objetivo será establecer la autenticación y autorización de usuarios de recursos de la aplicación web, como securizar la invocación de los métodos de los componentes de negocio. Se establecerá una configuración de seguridad mínima inicial, que se completará con mecanismos más sofisticados, a continuación. Todo ello, haciendo hincapié en las novedades de la versión 3.x de Spring Security como el uso de SPEL, anotaciones, espacio de nombres, configuración Java, etc. Los asistentes podrán ver muchas de las características que implementa Spring Security para establecer mecanismos de seguridad en las aplicaciones JEE. Las herramientas a utilizar serán Spring Tool Suite 3.6, Springframework 3.2, Maven 3 y Spring TC Server 2.9.
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...RootedCON
El continuo despliegue de redes inalámbricas tanto para uso domestico como empresarial, y la presencia de un gran número de dispositivos con capacidad para comunicarse a través del protocolo 802.11 supone un reto importante para las empresas que necesitan proteger sus infraestructuras aun cuando no disponen de una red propia.
El objetivo de la charla es presentar OWISAM, una metodología de seguridad abierta y colaborativa orientada a definir controles técnicos sobre las redes inalámbricas y a clasificar los ataques y riesgos existentes, como por ejemplo APTs y configuraciones débiles en servicios radius.
Junto con esta metodología se presentará una nueva herramienta de análisis de seguridad Wireless, que permitirá, a través de una api flexible y modular, interactuar y realizar pruebas sobres los dispositivos de comunicaciones.
Descripción:
Las Aplicaciones Web son en la actualidad el principal punto vulnerable para casi todas las organizaciones. Los agujeros, fallas y malas configuraciones en estas provocan el robo de millones de tarjetas de crédito, datos personales críticos, daño financiero y de reputación en cientos de empresas. En este curso se aprenderá el arte de explotar Aplicaciones Web de tal manera que se puedan encontrar sus fallas antes de que los chicos malos lo hagan. Todo se realizada con ejercicios prácticos, para aprender y comprender las técnicas con herramientas que utilizan los atacantes, mediante un proceso de cuatro fases para realizar una Prueba de Penetración a las Aplicaciones Web.
Objetivos:
Las pruebas de seguridad a las Aplicaciones Web son extremadamente importantes, pero por contraste algunas veces las más ausentes. En el presente curso el participante aprenderá la metodología para realizar las pruebas, configurar y utilizar las herramientas para realizar pruebas de seguridad web satisfactorias. Comprender como se realiza la comunicación entre todas las partes involucradas en una Aplicación Web. Seleccionar y utilizar los diferentes métodos y técnicas para realizar los ataques más comunes, como por ejemplo SQL Injection (SQLi), Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), entre otros. Se realizará una revisión al Top 10 de OWASP (The Open Web Application Security Project) con ejemplos prácticos.
Este documento describe diferentes técnicas para probar aplicaciones Angular, incluyendo TDD, BDD, pruebas unitarias, y pruebas E2E. Explica cómo escribir pruebas para cada tipo de test, así como herramientas como Karma, Protractor y Jasmine que pueden usarse para automatizar las pruebas. También cubre temas como componentes, $scope, $compile y $httpBackend para simular backends.
Este documento presenta los objetivos de la unidad 1 de ingeniería de software, los cuales incluyen: definir ingeniería de software y explicar su importancia, presentar modelos de proceso de software, definir requerimientos de software, describir actividades de análisis de requerimientos, describir componentes de SRS, discutir métricas de software, definir actividades de análisis de riesgo, discutir planeamiento de proyectos de software, describir términos de control y aseguramiento de calidad, presentar niveles de prue
Este documento presenta los objetivos de la unidad 1 de ingeniería de software, los cuales incluyen: definir ingeniería de software y explicar su importancia, presentar modelos de proceso de software, definir requerimientos de software, describir actividades de análisis de requerimientos, describir componentes de SRS, discutir métricas de software, definir actividades de análisis de riesgo, discutir planeamiento de proyectos de software, describir términos de control y aseguramiento de calidad, presentar niveles de prue
Este documento presenta una introducción al framework Code Igniter (CI). Explica conceptos clave como MVC, instalación de CI, estructura de directorios, flujo de información, estándares de codificación, configuración, controladores, vistas y más. El objetivo principal de CI es proporcionar un framework simplificado para desarrolladores PHP para crear aplicaciones web poderosas.
El documento habla sobre las pruebas funcionales, no funcionales y de aceptación para validar el software. Explica que las pruebas funcionales detectan comportamientos inesperados para lograr un producto libre de fallos, mientras que las pruebas no funcionales evalúan el rendimiento y seguridad. Finalmente, las pruebas de aceptación determinan si el software cumple con los requisitos de los usuarios antes de su lanzamiento.
Seguridad en Aplicaciones Web y Comercio ElectrónicoRené Olivo
Este documento discute varios temas relacionados con la seguridad en aplicaciones web y comercio electrónico. Explica mitos comunes sobre la seguridad, cómo documentarse sobre seguridad, y cómo analizar vulnerabilidades en un sitio web. También recomienda implementar pruebas unitarias y minimizar el uso de componentes externos de baja confianza para mejorar la seguridad.
El documento describe las principales actividades involucradas en la construcción e implementación de sistemas de información, incluyendo el análisis de necesidades, diseño técnico, construcción del sistema, pruebas, capacitación, y puesta en marcha. También discute opciones como comprar versus desarrollar un sistema, y factores clave para el éxito o fracaso de la implementación.
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
Este documento presenta el simulador Elena, creado para apoyar cursos de formación en cibervigilancia. El simulador ofrece escenarios en formato árbol de decisiones o simulación técnica para que los analistas practiquen técnicas de cibervigilancia. Incluye herramientas virtualizadas y máquinas preparadas. El objetivo es ofrecer una experiencia lo más realista posible y guiar a los usuarios en la aplicación de procedimientos de investigación.
Este documento describe las fases involucradas en el análisis de malware, incluyendo la obtención de archivos sospechosos, la extracción de detalles, el escaneo con antivirus, el examen dinámico y la correlación de resultados para llegar a conclusiones y recomendaciones. También discute la necesidad de implementar entornos de laboratorio seguros para realizar análisis de malware y enumera varias herramientas comunes utilizadas en cada etapa del proceso.
Este documento presenta métodos y herramientas para solucionar problemas en clientes de Skype for Business. Explica cómo hacer preguntas para diagnosticar problemas, clasificarlos en categorías como red, servicio o cliente, y realizar un troubleshooting paso a paso. También cubre casos comunes y herramientas como Snooper, Fiddler y logs para diagnosticar y solucionar problemas.
Este documento describe las fases de una prueba de penetración, incluyendo la recopilación de información, enumeración, análisis de vulnerabilidades, explotación y documentación. La prueba de penetración simula un ataque para evaluar la seguridad de un sistema y encontrar vulnerabilidades desconocidas mediante pruebas controladas.
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaAMADO SALVADOR
Descubre el catálogo general de la gama de productos de refrigeración del fabricante de electrodomésticos Miele, presentado por Amado Salvador distribuidor oficial Miele en Valencia. Como distribuidor oficial de electrodomésticos Miele, Amado Salvador ofrece una amplia selección de refrigeradores, congeladores y soluciones de refrigeración de alta calidad, resistencia y diseño superior de esta marca.
La gama de productos de Miele se caracteriza por su innovación tecnológica y eficiencia energética, garantizando que cada electrodoméstico no solo cumpla con las expectativas, sino que las supere. Los refrigeradores Miele están diseñados para ofrecer un rendimiento óptimo y una conservación perfecta de los alimentos, con características avanzadas como la tecnología de enfriamiento Dynamic Cooling, sistemas de almacenamiento flexible y acabados premium.
En este catálogo, encontrarás detalles sobre los distintos modelos de refrigeradores y congeladores Miele, incluyendo sus especificaciones técnicas, características destacadas y beneficios para el usuario. Amado Salvador, como distribuidor oficial de electrodomésticos Miele, garantiza que todos los productos cumplen con los más altos estándares de calidad y durabilidad.
Explora el catálogo completo y encuentra el refrigerador Miele perfecto para tu hogar con Amado Salvador, el distribuidor oficial de electrodomésticos Miele.
Fuzzing es una técnica para encontrar errores en software mediante la creación de entradas de datos semi-válidas. Se usa comúnmente para encontrar vulnerabilidades de seguridad. Existen diferentes tipos de fuzzers como automáticos, semi-automáticos y manuales, así como herramientas como mangle.c que han encontrado errores en software como FreeBSD y OpenBSD.
Este documento describe una investigación sobre la identificación y evasión de entornos de análisis sandbox. Los investigadores desarrollaron artefactos para recopilar información de varias sandbox y analizar su seguridad. Encontraron que algunas sandbox no ocultan bien su naturaleza y que es posible acceder a archivos de configuración. También pudieron identificar a los propietarios de algunas sandbox mediante vulnerabilidades de XSS. Concluyen que es posible obtener inteligencia sobre cómo funcionan las sandbox y evadir su detección.
Este documento describe brevemente a OWASP y el OWASP Top 10. OWASP es una comunidad abierta dedicada a ayudar a organizaciones a desarrollar, comprar y mantener aplicaciones seguras. Produce herramientas, literatura y controles de seguridad. El OWASP Top 10 es una lista de los 10 vulnerabilidades más críticas reportadas frecuentemente por empresas de seguridad, con el objetivo de educar a desarrolladores sobre las consecuencias de estas debilidades.
20180313 Keep Calm And Test Your Code RiojaDotNetalbertortizcape
Presentación para la RiojaDotNet sobre testing.
Enlaces de referencia:
--
Keep Calm And Unit Test Your Code
https://www.keepcalmandposters.com/poster/5829573_keep_calm_and_unit_test_your_code
--
TestPyramid
https://martinfowler.com/bliki/TestPyramid.html
--
The Practical Test Pyramid
https://martinfowler.com/articles/practical-test-pyramid.html
--
TestDouble
https://martinfowler.com/bliki/TestDouble.html
--
UnitTest
https://martinfowler.com/bliki/UnitTest.html
--
IntegrationTest
https://martinfowler.com/bliki/IntegrationTest.html
--
Unit Tests Are FIRST (Fast, Isolated, Repeatable, Self-Verifying, and Timely)
https://pragprog.com/magazines/2012-01/unit-tests-are-first
--
F.I.R.S.T Principles of Unit Testing
https://github.com/ghsukumar/SFDC_Best_Practices/wiki/F.I.R.S.T-Principles-of-Unit-Testing
--
Simulando las dependencias en las pruebas unitarias. Dummies vs Stubs vs Mocks vs Spies vs Fakes
http://www.javiergarzas.com/2015/09/dummies-vs-stubs-vs-mocks-vs-spies-vs-fakes.html
--
What's the difference between faking, mocking, and stubbing?
https://stackoverflow.com/questions/346372/whats-the-difference-between-faking-mocking-and-stubbing
--
Mocks Aren't Stubs
https://martinfowler.com/articles/mocksArentStubs.html
--
Java - How to use stubs in JUnit
https://stackoverflow.com/questions/31890991/java-how-to-use-stubs-in-junit
--
GivenWhenThen
https://martinfowler.com/bliki/GivenWhenThen.html
--
Conceptos básicos de prueba unitaria - Escribir las pruebas
https://msdn.microsoft.com/es-es/library/hh694602.aspx#Anchor_3
--
¿Qué es eso del testing exploratorio? ¿Y para qué me sirve?
http://www.javiergarzas.com/2015/01/testing-exploratorio-10-min.html
--
Naming Test Classes and Methods
https://codurance.com/2014/12/13/naming-test-classes-and-methods/
--
Rafa Gomez y Javier Ferrer - Clean Code, SOLID, CQRS... ¿Y qué hay de nuestros test? | BCN SWC 2017
https://www.youtube.com/watch?v=cw6Va1ZW7iI&list=PLKxa4AIfm4pXfHIuhB89H6TdUO8syJMui&index=3
--
Deconstruyendo la pirámide de los tests
http://blog.koalite.com/2014/05/deconstruyendo-la-piramide-de-los-tests/
--
No pierdas el tiempo escribiendo tests
http://blog.koalite.com/2017/11/no-pierdas-el-tiempo-escribiendo-tests/
--
NO automatices más Test de interfaz gráfica de usuario
http://www.javiergarzas.com/2016/06/14044.html
--
Just Say No to More End-to-End Tests
https://testing.googleblog.com/2015/04/just-say-no-to-more-end-to-end-tests.html
--
Commercial Fiat 500S – What bad boyS drive
https://www.youtube.com/watch?v=4ndyAlJN9Fk
Auditoria de redes, herramientas CASE .pptxGerenciaEfran
Son una serie de mecanismos mediante los cuales se prueba una Red Informática, evaluando su desempeño y seguridad, logrando una utilización más eficiente y Segura de la información
Este documento presenta información sobre el desarrollo de software multimedia, incluyendo las etapas del ciclo de vida del software, tipos de pruebas, errores comunes, y la importancia de garantizar la calidad. Describe las fases de definición de requisitos, diseño, implementación, pruebas y documentación necesarias para el desarrollo exitoso de aplicaciones multimedia. También explica diferentes tipos de pruebas como pruebas unitarias, de integración, alfa y beta para detectar errores de forma temprana.
Desde una aplicación web simple, previamente desarrollada, basada en la serie televisiva expediente X (X-Files), el objetivo será establecer la autenticación y autorización de usuarios de recursos de la aplicación web, como securizar la invocación de los métodos de los componentes de negocio. Se establecerá una configuración de seguridad mínima inicial, que se completará con mecanismos más sofisticados, a continuación. Todo ello, haciendo hincapié en las novedades de la versión 3.x de Spring Security como el uso de SPEL, anotaciones, espacio de nombres, configuración Java, etc. Los asistentes podrán ver muchas de las características que implementa Spring Security para establecer mecanismos de seguridad en las aplicaciones JEE. Las herramientas a utilizar serán Spring Tool Suite 3.6, Springframework 3.2, Maven 3 y Spring TC Server 2.9.
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...RootedCON
El continuo despliegue de redes inalámbricas tanto para uso domestico como empresarial, y la presencia de un gran número de dispositivos con capacidad para comunicarse a través del protocolo 802.11 supone un reto importante para las empresas que necesitan proteger sus infraestructuras aun cuando no disponen de una red propia.
El objetivo de la charla es presentar OWISAM, una metodología de seguridad abierta y colaborativa orientada a definir controles técnicos sobre las redes inalámbricas y a clasificar los ataques y riesgos existentes, como por ejemplo APTs y configuraciones débiles en servicios radius.
Junto con esta metodología se presentará una nueva herramienta de análisis de seguridad Wireless, que permitirá, a través de una api flexible y modular, interactuar y realizar pruebas sobres los dispositivos de comunicaciones.
Descripción:
Las Aplicaciones Web son en la actualidad el principal punto vulnerable para casi todas las organizaciones. Los agujeros, fallas y malas configuraciones en estas provocan el robo de millones de tarjetas de crédito, datos personales críticos, daño financiero y de reputación en cientos de empresas. En este curso se aprenderá el arte de explotar Aplicaciones Web de tal manera que se puedan encontrar sus fallas antes de que los chicos malos lo hagan. Todo se realizada con ejercicios prácticos, para aprender y comprender las técnicas con herramientas que utilizan los atacantes, mediante un proceso de cuatro fases para realizar una Prueba de Penetración a las Aplicaciones Web.
Objetivos:
Las pruebas de seguridad a las Aplicaciones Web son extremadamente importantes, pero por contraste algunas veces las más ausentes. En el presente curso el participante aprenderá la metodología para realizar las pruebas, configurar y utilizar las herramientas para realizar pruebas de seguridad web satisfactorias. Comprender como se realiza la comunicación entre todas las partes involucradas en una Aplicación Web. Seleccionar y utilizar los diferentes métodos y técnicas para realizar los ataques más comunes, como por ejemplo SQL Injection (SQLi), Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), entre otros. Se realizará una revisión al Top 10 de OWASP (The Open Web Application Security Project) con ejemplos prácticos.
Este documento describe diferentes técnicas para probar aplicaciones Angular, incluyendo TDD, BDD, pruebas unitarias, y pruebas E2E. Explica cómo escribir pruebas para cada tipo de test, así como herramientas como Karma, Protractor y Jasmine que pueden usarse para automatizar las pruebas. También cubre temas como componentes, $scope, $compile y $httpBackend para simular backends.
Este documento presenta los objetivos de la unidad 1 de ingeniería de software, los cuales incluyen: definir ingeniería de software y explicar su importancia, presentar modelos de proceso de software, definir requerimientos de software, describir actividades de análisis de requerimientos, describir componentes de SRS, discutir métricas de software, definir actividades de análisis de riesgo, discutir planeamiento de proyectos de software, describir términos de control y aseguramiento de calidad, presentar niveles de prue
Este documento presenta los objetivos de la unidad 1 de ingeniería de software, los cuales incluyen: definir ingeniería de software y explicar su importancia, presentar modelos de proceso de software, definir requerimientos de software, describir actividades de análisis de requerimientos, describir componentes de SRS, discutir métricas de software, definir actividades de análisis de riesgo, discutir planeamiento de proyectos de software, describir términos de control y aseguramiento de calidad, presentar niveles de prue
Este documento presenta una introducción al framework Code Igniter (CI). Explica conceptos clave como MVC, instalación de CI, estructura de directorios, flujo de información, estándares de codificación, configuración, controladores, vistas y más. El objetivo principal de CI es proporcionar un framework simplificado para desarrolladores PHP para crear aplicaciones web poderosas.
El documento habla sobre las pruebas funcionales, no funcionales y de aceptación para validar el software. Explica que las pruebas funcionales detectan comportamientos inesperados para lograr un producto libre de fallos, mientras que las pruebas no funcionales evalúan el rendimiento y seguridad. Finalmente, las pruebas de aceptación determinan si el software cumple con los requisitos de los usuarios antes de su lanzamiento.
Seguridad en Aplicaciones Web y Comercio ElectrónicoRené Olivo
Este documento discute varios temas relacionados con la seguridad en aplicaciones web y comercio electrónico. Explica mitos comunes sobre la seguridad, cómo documentarse sobre seguridad, y cómo analizar vulnerabilidades en un sitio web. También recomienda implementar pruebas unitarias y minimizar el uso de componentes externos de baja confianza para mejorar la seguridad.
El documento describe las principales actividades involucradas en la construcción e implementación de sistemas de información, incluyendo el análisis de necesidades, diseño técnico, construcción del sistema, pruebas, capacitación, y puesta en marcha. También discute opciones como comprar versus desarrollar un sistema, y factores clave para el éxito o fracaso de la implementación.
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
Este documento presenta el simulador Elena, creado para apoyar cursos de formación en cibervigilancia. El simulador ofrece escenarios en formato árbol de decisiones o simulación técnica para que los analistas practiquen técnicas de cibervigilancia. Incluye herramientas virtualizadas y máquinas preparadas. El objetivo es ofrecer una experiencia lo más realista posible y guiar a los usuarios en la aplicación de procedimientos de investigación.
Este documento describe las fases involucradas en el análisis de malware, incluyendo la obtención de archivos sospechosos, la extracción de detalles, el escaneo con antivirus, el examen dinámico y la correlación de resultados para llegar a conclusiones y recomendaciones. También discute la necesidad de implementar entornos de laboratorio seguros para realizar análisis de malware y enumera varias herramientas comunes utilizadas en cada etapa del proceso.
Este documento presenta métodos y herramientas para solucionar problemas en clientes de Skype for Business. Explica cómo hacer preguntas para diagnosticar problemas, clasificarlos en categorías como red, servicio o cliente, y realizar un troubleshooting paso a paso. También cubre casos comunes y herramientas como Snooper, Fiddler y logs para diagnosticar y solucionar problemas.
Este documento describe las fases de una prueba de penetración, incluyendo la recopilación de información, enumeración, análisis de vulnerabilidades, explotación y documentación. La prueba de penetración simula un ataque para evaluar la seguridad de un sistema y encontrar vulnerabilidades desconocidas mediante pruebas controladas.
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaAMADO SALVADOR
Descubre el catálogo general de la gama de productos de refrigeración del fabricante de electrodomésticos Miele, presentado por Amado Salvador distribuidor oficial Miele en Valencia. Como distribuidor oficial de electrodomésticos Miele, Amado Salvador ofrece una amplia selección de refrigeradores, congeladores y soluciones de refrigeración de alta calidad, resistencia y diseño superior de esta marca.
La gama de productos de Miele se caracteriza por su innovación tecnológica y eficiencia energética, garantizando que cada electrodoméstico no solo cumpla con las expectativas, sino que las supere. Los refrigeradores Miele están diseñados para ofrecer un rendimiento óptimo y una conservación perfecta de los alimentos, con características avanzadas como la tecnología de enfriamiento Dynamic Cooling, sistemas de almacenamiento flexible y acabados premium.
En este catálogo, encontrarás detalles sobre los distintos modelos de refrigeradores y congeladores Miele, incluyendo sus especificaciones técnicas, características destacadas y beneficios para el usuario. Amado Salvador, como distribuidor oficial de electrodomésticos Miele, garantiza que todos los productos cumplen con los más altos estándares de calidad y durabilidad.
Explora el catálogo completo y encuentra el refrigerador Miele perfecto para tu hogar con Amado Salvador, el distribuidor oficial de electrodomésticos Miele.
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...AMADO SALVADOR
El catálogo general de electrodomésticos Teka presenta una amplia gama de productos de alta calidad y diseño innovador. Como distribuidor oficial Teka, Amado Salvador ofrece soluciones en electrodomésticos Teka que destacan por su tecnología avanzada y durabilidad. Este catálogo incluye una selección exhaustiva de productos Teka que cumplen con los más altos estándares del mercado, consolidando a Amado Salvador como el distribuidor oficial Teka.
Explora las diversas categorías de electrodomésticos Teka en este catálogo, cada una diseñada para satisfacer las necesidades de cualquier hogar. Amado Salvador, como distribuidor oficial Teka, garantiza que cada producto de Teka se distingue por su excelente calidad y diseño moderno.
Amado Salvador, distribuidor oficial Teka en Valencia. La calidad y el diseño de los electrodomésticos Teka se reflejan en cada página del catálogo, ofreciendo opciones que van desde hornos, placas de cocina, campanas extractoras hasta frigoríficos y lavavajillas. Este catálogo es una herramienta esencial para inspirarse y encontrar electrodomésticos de alta calidad que se adaptan a cualquier proyecto de diseño.
En Amado Salvador somos distribuidor oficial Teka en Valencia y ponemos atu disposición acceso directo a los mejores productos de Teka. Explora este catálogo y encuentra la inspiración y los electrodomésticos necesarios para equipar tu hogar con la garantía y calidad que solo un distribuidor oficial Teka puede ofrecer.
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...AMADO SALVADOR
Descarga el Catálogo General de Tarifas 2024 de Vaillant, líder en tecnología para calefacción, ventilación y energía solar térmica y fotovoltaica. En Amado Salvador, como distribuidor oficial de Vaillant, te ofrecemos una amplia gama de productos de alta calidad y diseño innovador para tus proyectos de climatización y energía.
Descubre nuestra selección de productos Vaillant, incluyendo bombas de calor altamente eficientes, fancoils de última generación, sistemas de ventilación de alto rendimiento y soluciones de energía solar fotovoltaica y térmica para un rendimiento óptimo y sostenible. El catálogo de Vaillant 2024 presenta una variedad de opciones en calderas de condensación que garantizan eficiencia energética y durabilidad.
Con Vaillant, obtienes más que productos de climatización: control avanzado y conectividad para una gestión inteligente del sistema, acumuladores de agua caliente de gran capacidad y sistemas de aire acondicionado para un confort total. Confía en la fiabilidad de Amado Salvador como distribuidor oficial de Vaillant, y en la resistencia de los productos Vaillant, respaldados por años de experiencia e innovación en el sector.
En Amado Salvador, distribuidor oficial de Vaillant en Valencia, no solo proporcionamos productos de calidad, sino también servicios especializados para profesionales, asegurando que tus proyectos cuenten con el mejor soporte técnico y asesoramiento. Descarga nuestro catálogo y descubre por qué Vaillant es la elección preferida para proyectos de climatización y energía en Amado Salvador.
La inteligencia artificial sigue evolucionando rápidamente, prometiendo transformar múltiples aspectos de la sociedad mientras plantea importantes cuestiones que requieren una cuidadosa consideración y regulación.
3. Fases de un ataque
• Reconocimiento
• Escaneo
• Ganar Acceso
• Mantener acceso
• Borrar huellas
4. Clasificación de los tipos de ataques
• Autenticación
• Autorización
• Ataque en la parte cliente
• Ejecución de comandos
• Revelación de información
5. Tipos de ataques - Autenticación
• Fuerza bruta
• Autenticación insuficiente
• Débil validación de contraseñas
6. Tipos de ataques - Autorización
• Predicción de credenciales/sesión
• Autorización insuficiente
• Expiración de sesión insuficiente
• Fijación de sesión
7. Tipos de ataques – Ataques en la parte
cliente
• Suplantación de contenido. Phising.
• Cross-site scripting
8. Tipos de ataques – Ejecución de
comandos
• Desbordamiento de buffer
• Ataques de formato de cadena
• Inyección LDAP
• Comandos del sistema operativo
• Inyección de código SQL
• Inyección de código SSI
• Inyección XPath
9. Tipos de ataques – Revelación de
información
• Indexación de directorio
• Fuga de información
• Path Transversal
• Localización de recursos predecibles
10. Tipos de ataques – Ataques lógicos
• Abuso de funcionalidad
• Denegación de servicio
• Anti-automatización insuficiente
• Validación de proceso insuficiente
11. Qué es Grode
• Grode es una herramienta que realiza una
primera validación inicial sobre el nivel de
seguridad de una web.
• Implementa varias técnicas.
• Uso sencillo e intuitivo.
• Resultados no incluyen información delicada.
• Pensado para desarrolladores, auditores o
clientes preocupados por la seguridad de su
web.
12. Técnicas implementadas
• Inyección SQL
• Mediante una batería de pruebas realiza
validaciónes de vulnerabilidades en inyección
SQL por las dos vías existentes:
– URL
– Formularios
13. Técnicas implementadas
• URL
– Si la web introducida por el usuario contiene
variables del tipo: ?id=12345 se lanzan batería de
pruebas del tipo:
• ?id=‘
• ?id=-1
– Grode realiza la comparación de resultados
devueltos.
14. Técnicas implementadas
• Formulario
– Si la web introducida por el usuario contiene
formularios Grode hace:
• Limpia la web dejando solo el formulario
• Deduce la web de destino del formulario.
• Saca las diferentes variables del mismo.
• Monta la web del tipo ?id=123456789.
• Lanza la batería de pruebas con ?id=-1 e ?id=‘.
• Analiza los resultados.
15. Técnicas implementadas
• Inyección SQL
– Finalmente Grode devuelve un pequeño informe
donde se indica si la web tiene un nivel de
vulnerabilidad:
• Bajo
• Medio
• Alto
– Esto pone en alerta al especialista que puede
realizar ya test mas profundos viendo cuanta
información esta afectada por esa técnica.
16. Técnicas implementadas
• Indexación de directorio
– Grode detecta si el sitio web solicitado tiene
archivo robots.txt
– Si tiene dicho archivo analiza cuantas lineas con
formato Disallow: existen en el mismo.
– Monta cada linea con formato: www.url-
victima.com/webDelRobots.php
– Analiza si existe la linea
– Devuelve la cabecera HTML sobre el estado de la
petición
17. Técnicas implementadas
• Indexación de directorio
– Los archivos robots.txt pueden ser realmente
extensos.
– Grode realiza de forma automática la auditoría
sobre los mismos informando al auditor de que
webs tienen contenido y su administrador no
quiere que se vean.
– Da en un tiempo muy rápido un informe al auditor
de que archivos están siendo ocultos y pueden ser
vulnerables.
18. Técnicas implementadas
• Fuga de información
– Grode aprovecha las diferentes pruebas que se
realizan durante la validación de otras técnicas para
validar si sus diferentes respuestas contienen
información sensible.
– Realiza la comparación buscando información sensible
del tipo:
• Devolución de errores con directorios.
• Devolución de errores con consultas o información de la
BBDD.
• Devolución de errores con información sensible.
19. ¿Qué aporta Grode?
• Pruebas de seguridad sencillas, solo se
necesita una url.
• Resultados indicativos, explican el problema y
nivel pero no muestra información sensible
para usos indebidos.
• Primer test inicial sencillo para que auditores
puedan focalizar sus esfuerzos en evaluar
técnicas que devuelvan nivel de
vulnerabilidad.
20. Versión Beta Grode
• Implementa las técnicas indicadas
anteriormente:
– Inyección SQl
– Indexación de directorio
– Fuga de información.
• Ya disponible en www.grode.es
21. Futuro de Grode
• Software libre. Se liberará el código una vez
finalizado el PFG.
• Implementación de más técnicas, las primera
previstas:
– Google Hacking. Conexión con la API de Google y
sincronización con los encontrado en robots.txt
– Inyección LDAP completa: Las pruebas actuales ya
lanzan baterías que valen para esto, completarlo.
– Inyección Xpath.
22. Grode en los medios
• Video sobre Google Hacking donde se
presenta Grode y su primera funcionalidad de
análisis de robots.txt.
• Se ha presentado Grode al concurso de ISACA
para jóvenes.