Este documento presenta el contenido y objetivos de un curso sobre seguridad para aplicaciones web y móviles. El curso busca mejorar la capacitación de desarrolladores en procesos de seguridad como la prevención y detección de ataques. Cubrirá temas como vulnerabilidades comunes, técnicas de hacking, seguridad móvil y cómo prevenir ataques. El curso durará aproximadamente 20 horas e incluirá ejemplos prácticos y ejercicios utilizando aplicaciones deliberadamente vulnerables.
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
Curso especializado de seguridad para aplicaciones web y aplicacione móviles, de e-Securing C.A. Dictado por Mauro Maulini R. - Toda la información que los desarrolladores, programadores y expertos en seguridad de sistemas informáticos deben conocer para prevenir que sus aplicaciones web o móviles sean vulneradas, y los costos directos u ocultos que de ello deriva.
Aprende los conocimientos necesarios a nivel conceptual y práctico para que puedas implementar en empresas y negocios, un sistema de seguridad informática integral y perimetral, apoyado por el uso de Software Libre.
Desarrollarás y adquirirás habilidades prácticas para la realización de auditorías de sistemas intrusivos, usando las técnicas de la Auditoria de T.I del tipo “Hacking Ético y/o Test de Penetración”.
Además, aprende a gestionar un Red Team y su integración con el resto de unidades de negocio de la organización.
Las aplicaciones web tienen un rol importante en todas las organizaciones modernas. Pero si la organización no evalúa y asegura adecuadamente sus aplicaciones web, los atacantes maliciosos pueden comprometer estas aplicaciones, dañar la funcionalidad de la empresa, y robar datos. Desafortunadamente muchas organizaciones operan bajo la errada percepción, de confiar el descubrimiento de las fallas en sus sistemas a escaners automáticos de seguridad en aplicaciones web. No existe un parche o solución total para las aplicaciones web personalizadas, por lo tanto los atacantes maliciosos se orientan cada vez más en estos objetivos de alto valor.
En este curso se enseña a los participantes a entender las principales fallas en las aplicaciones web y su explotación;y lo más importante; aprender a realizar un proceso repetible y verificado en la realidad, para encontrar de manera consistente estas fallas en sus organizaciones. El participante aprenderá una metodología para pruebas de cuatro fases, además de la configuración y utilización de las herramientas para realizar pruebas satisfactorias. Comprender como se realiza la comunicación entre todas las partes involucradas en una aplicación web. Seleccionar y utilizar los diferentes métodos, además de técnicas para realizar los ataques más relevantes, como por ejemplo; Inyección de Comandos, Recorrido de Directorios, Inyección SQL, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), entre muchas vulnerabilidades más.
Las aplicaciones web tienen un rol importante en todas las organizaciones modernas. Pero si la organización no evalúa y asegura adecuadamente sus aplicaciones web, los atacantes maliciosos pueden comprometer estas aplicaciones, dañar la funcionalidad de la empresa, y robar datos. Desafortunadamente muchas organizaciones operan bajo la errada percepción, de confiar el descubrimiento de las fallas en sus sistemas a escaners automáticos de seguridad en aplicaciones web. No existe un parche o solución total para las aplicaciones web personalizadas, por lo tanto los atacantes maliciosos se orientan cada vez más en estos objetivos de alto valor.
En este curso se enseña a los participantes a entender las principales fallas en las aplicaciones web y su explotación;y lo más importante; aprender a realizar un proceso repetible y verificado en la realidad, para encontrar de manera consistente estas fallas en sus organizaciones. El participante aprenderá una metodología para pruebas de cuatro fases, además de la configuración y utilización de las herramientas para realizar pruebas satisfactorias. Comprender como se realiza la comunicación entre todas las partes involucradas en una aplicación web. Seleccionar y utilizar los diferentes métodos, además de técnicas para realizar los ataques más relevantes, como por ejemplo; Inyección de Comandos, Recorrido de Directorios, Inyección SQL, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), entre muchas vulnerabilidades más.
Presentación:
Como profesionales en ciberseguridad, se tiene la única responsabilidad de encontrar y entender las vulnerabilidades de la organización, para trabajar diligentemente en mitigarlas antes de estas sean aprovechadas por atacantes maliciosos. Este curso abarca las herramientas, técnicas y metodologías para hacer pruebas de penetración contra redes, preparando para realizar proyectos de pruebas de penetración paso a paso. Todas las organizaciones necesitan personal experimentados en seguridad de la información, quien pueda encontrar vulnerabilidades y mitigar sus efectos. Con este curso se estará en la capacidad de realizar pruebas de penetración, aplicando los conocimientos, herramientas, y principios abarcados a través del mismo. Descubriendo y explotando vulnerabilidades en entornos reales, demostrando así los conocimientos asimilados.
Objetivos:
Este curso enseña a los participantes a realizar un reconocimiento detallado, estudiando la infraestructura del objetivo mediante búsquedas en blogs, motores de búsqueda, redes sociales y otras infraestructuras en Internet e Intranet. Se escanean las redes objetivo utilizando las mejores herramientas disponibles. Se abarcan las mejores opciones, configuraciones y capacidades de las herramientas para pruebas de penetración. Luego se exponen diversos métodos de explotación para ganar acceso hacia los sistemas objetivo, y de esta manera medir el riesgo real para la organización. Después se realizan acciones posteriores a la explotación y ataques a contraseñas. Todos los ataques se desarrollan en un laboratorio de pruebas controlado.
Más información: http://www.reydes.com/d/?q=Curso_de_Hacking_Etico
Como profesionales en ciberseguridad, se tiene la única responsabilidad de encontrar y entender las vulnerabilidades de la organización, para trabajar diligentemente en mitigarlas antes de estas sean aprovechadas por atacantes maliciosos. Este curso abarca las herramientas, técnicas y metodologías para hacer pruebas de penetración contra redes, preparando para realizar proyectos de pruebas de penetración paso a paso. Todas las organizaciones necesitan personal experimentados en seguridad de la información, quien pueda encontrar vulnerabilidades y mitigar sus efectos. Con este curso se estará en la capacidad de realizar pruebas de penetración, aplicando los conocimientos, herramientas, y principios abarcados a través del mismo. Descubriendo y explotando vulnerabilidades en entornos reales, demostrando así los conocimientos asimilados.
Este curso enseña a los participantes a realizar un reconocimiento detallado, estudiando la infraestructura del objetivo mediante búsquedas en blogs, motores de búsqueda, redes sociales y otras infraestructuras en Internet e Intranet. Se escanean las redes objetivo utilizando las mejores herramientas disponibles. Se abarcan las mejores opciones, configuraciones y capacidades de las herramientas para pruebas de penetración. Luego se exponen diversos métodos de explotación para ganar acceso hacia los sistemas objetivo, y de esta manera medir el riesgo real para la organización. Después se realizan acciones posteriores a la explotación y ataques a contraseñas. Todos los ataques se desarrollan en un laboratorio de pruebas controlado.
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
Curso especializado de seguridad para aplicaciones web y aplicacione móviles, de e-Securing C.A. Dictado por Mauro Maulini R. - Toda la información que los desarrolladores, programadores y expertos en seguridad de sistemas informáticos deben conocer para prevenir que sus aplicaciones web o móviles sean vulneradas, y los costos directos u ocultos que de ello deriva.
Aprende los conocimientos necesarios a nivel conceptual y práctico para que puedas implementar en empresas y negocios, un sistema de seguridad informática integral y perimetral, apoyado por el uso de Software Libre.
Desarrollarás y adquirirás habilidades prácticas para la realización de auditorías de sistemas intrusivos, usando las técnicas de la Auditoria de T.I del tipo “Hacking Ético y/o Test de Penetración”.
Además, aprende a gestionar un Red Team y su integración con el resto de unidades de negocio de la organización.
Las aplicaciones web tienen un rol importante en todas las organizaciones modernas. Pero si la organización no evalúa y asegura adecuadamente sus aplicaciones web, los atacantes maliciosos pueden comprometer estas aplicaciones, dañar la funcionalidad de la empresa, y robar datos. Desafortunadamente muchas organizaciones operan bajo la errada percepción, de confiar el descubrimiento de las fallas en sus sistemas a escaners automáticos de seguridad en aplicaciones web. No existe un parche o solución total para las aplicaciones web personalizadas, por lo tanto los atacantes maliciosos se orientan cada vez más en estos objetivos de alto valor.
En este curso se enseña a los participantes a entender las principales fallas en las aplicaciones web y su explotación;y lo más importante; aprender a realizar un proceso repetible y verificado en la realidad, para encontrar de manera consistente estas fallas en sus organizaciones. El participante aprenderá una metodología para pruebas de cuatro fases, además de la configuración y utilización de las herramientas para realizar pruebas satisfactorias. Comprender como se realiza la comunicación entre todas las partes involucradas en una aplicación web. Seleccionar y utilizar los diferentes métodos, además de técnicas para realizar los ataques más relevantes, como por ejemplo; Inyección de Comandos, Recorrido de Directorios, Inyección SQL, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), entre muchas vulnerabilidades más.
Las aplicaciones web tienen un rol importante en todas las organizaciones modernas. Pero si la organización no evalúa y asegura adecuadamente sus aplicaciones web, los atacantes maliciosos pueden comprometer estas aplicaciones, dañar la funcionalidad de la empresa, y robar datos. Desafortunadamente muchas organizaciones operan bajo la errada percepción, de confiar el descubrimiento de las fallas en sus sistemas a escaners automáticos de seguridad en aplicaciones web. No existe un parche o solución total para las aplicaciones web personalizadas, por lo tanto los atacantes maliciosos se orientan cada vez más en estos objetivos de alto valor.
En este curso se enseña a los participantes a entender las principales fallas en las aplicaciones web y su explotación;y lo más importante; aprender a realizar un proceso repetible y verificado en la realidad, para encontrar de manera consistente estas fallas en sus organizaciones. El participante aprenderá una metodología para pruebas de cuatro fases, además de la configuración y utilización de las herramientas para realizar pruebas satisfactorias. Comprender como se realiza la comunicación entre todas las partes involucradas en una aplicación web. Seleccionar y utilizar los diferentes métodos, además de técnicas para realizar los ataques más relevantes, como por ejemplo; Inyección de Comandos, Recorrido de Directorios, Inyección SQL, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), entre muchas vulnerabilidades más.
Presentación:
Como profesionales en ciberseguridad, se tiene la única responsabilidad de encontrar y entender las vulnerabilidades de la organización, para trabajar diligentemente en mitigarlas antes de estas sean aprovechadas por atacantes maliciosos. Este curso abarca las herramientas, técnicas y metodologías para hacer pruebas de penetración contra redes, preparando para realizar proyectos de pruebas de penetración paso a paso. Todas las organizaciones necesitan personal experimentados en seguridad de la información, quien pueda encontrar vulnerabilidades y mitigar sus efectos. Con este curso se estará en la capacidad de realizar pruebas de penetración, aplicando los conocimientos, herramientas, y principios abarcados a través del mismo. Descubriendo y explotando vulnerabilidades en entornos reales, demostrando así los conocimientos asimilados.
Objetivos:
Este curso enseña a los participantes a realizar un reconocimiento detallado, estudiando la infraestructura del objetivo mediante búsquedas en blogs, motores de búsqueda, redes sociales y otras infraestructuras en Internet e Intranet. Se escanean las redes objetivo utilizando las mejores herramientas disponibles. Se abarcan las mejores opciones, configuraciones y capacidades de las herramientas para pruebas de penetración. Luego se exponen diversos métodos de explotación para ganar acceso hacia los sistemas objetivo, y de esta manera medir el riesgo real para la organización. Después se realizan acciones posteriores a la explotación y ataques a contraseñas. Todos los ataques se desarrollan en un laboratorio de pruebas controlado.
Más información: http://www.reydes.com/d/?q=Curso_de_Hacking_Etico
Como profesionales en ciberseguridad, se tiene la única responsabilidad de encontrar y entender las vulnerabilidades de la organización, para trabajar diligentemente en mitigarlas antes de estas sean aprovechadas por atacantes maliciosos. Este curso abarca las herramientas, técnicas y metodologías para hacer pruebas de penetración contra redes, preparando para realizar proyectos de pruebas de penetración paso a paso. Todas las organizaciones necesitan personal experimentados en seguridad de la información, quien pueda encontrar vulnerabilidades y mitigar sus efectos. Con este curso se estará en la capacidad de realizar pruebas de penetración, aplicando los conocimientos, herramientas, y principios abarcados a través del mismo. Descubriendo y explotando vulnerabilidades en entornos reales, demostrando así los conocimientos asimilados.
Este curso enseña a los participantes a realizar un reconocimiento detallado, estudiando la infraestructura del objetivo mediante búsquedas en blogs, motores de búsqueda, redes sociales y otras infraestructuras en Internet e Intranet. Se escanean las redes objetivo utilizando las mejores herramientas disponibles. Se abarcan las mejores opciones, configuraciones y capacidades de las herramientas para pruebas de penetración. Luego se exponen diversos métodos de explotación para ganar acceso hacia los sistemas objetivo, y de esta manera medir el riesgo real para la organización. Después se realizan acciones posteriores a la explotación y ataques a contraseñas. Todos los ataques se desarrollan en un laboratorio de pruebas controlado.
Como profesionales en ciberseguridad, se tiene la única responsabilidad de encontrar y entender las vulnerabilidades de la organización, para trabajar diligentemente en mitigarlas antes de estas sean aprovechadas por atacantes maliciosos. Este curso abarca las herramientas, técnicas y metodologías para hacer pruebas de penetración contra redes, preparando para realizar proyectos de pruebas de penetración paso a paso. Todas las organizaciones necesitan personal experimentados en seguridad de la información, quien pueda encontrar vulnerabilidades y mitigar sus efectos. Con este curso se estará en la capacidad de realizar pruebas de penetración, aplicando los conocimientos, herramientas, y principios abarcados a través del mismo. Descubriendo y explotando vulnerabilidades en entornos reales, demostrando así los conocimientos asimilados.
Este curso enseña a los participantes a realizar un reconocimiento detallado, estudiando la infraestructura del objetivo mediante búsquedas en blogs, motores de búsqueda, redes sociales y otras infraestructuras en Internet e Intranet. Se escanean las redes objetivo utilizando las mejores herramientas disponibles. Se abarcan las mejores opciones, configuraciones y capacidades de las herramientas para pruebas de penetración. Luego se exponen diversos métodos de explotación para ganar acceso hacia los sistemas objetivo, y de esta manera medir el riesgo real para la organización. Después se realizan acciones posteriores a la explotación y ataques a contraseñas. Todos los ataques se desarrollan en un laboratorio de pruebas controlado.
En la actualidad es muy común trabajar en cualquier investigación forense relacionada a un componente de red. El forense de computadoras siempre será un habilidad fundamental y crítica para esta profesión, pues obviar las comunicaciones de red, es similar a ignorar las imágenes proporcionadas por las cámaras de seguridad correspondientes a un crimen cometido. Ya sea se enfrente un incidente relacionado con una intrusión, un caso de robo de datos, uso indebido por parte de los empleados, o se esté involucrado en el descubrimiento proactivo del adversario, la red frecuentemente proporciona una vista incomparable del incidente. Esta evidencia puede proporcionar la prueba necesaria para mostrar intencionalidad, descubrir los atacantes han estado activos por meses o más, o incluso puede resultar útil para probar definitivamente la ocurrencia de un delito.
Este curso enseña a construir los conocimientos críticos fundamentales necesarios para realizar investigaciones eficientes y efectivas. Enfocándose en el conocimiento necesario para expandir la mentalidad forense, desde los datos residuales contenidos en los medios de almacenamiento de un sistema o dispositivo, hasta las comunicaciones transitorias las cuales ocurrieron anteriormente o continúen ocurriendo. Incluso si un atacante remoto muy hábil compromete un sistema con un exploit indetectable, el sistema debe comunicarse a través de la red. Sin los canales de comando y control para la extracción de datos, el valor de un sistema comprometido se reduce casi a cero. Expresado de otra manera; mientras los atacantes se comunican a través de la red, este curso enseña como es factible escucharlos de diversas maneras.
Las aplicaciones web tienen un rol importante en todas las organizaciones modernas. Pero si la organización no evalúa y asegura adecuadamente sus aplicaciones web, los atacantes maliciosos pueden comprometer estas aplicaciones, dañar la funcionalidad de la empresa, y robar datos. Desafortunadamente muchas organizaciones operan bajo la errada percepción, de confiar el descubrimiento de las fallas en sus sistemas a escaners automáticos de seguridad en aplicaciones web. No existe un parche o solución total para las aplicaciones web personalizadas, por lo tanto los atacantes maliciosos se orientan cada vez más en estos objetivos de alto valor.
En este curso se enseña a los participantes a entender las principales fallas en las aplicaciones web y su explotación;y lo más importante; aprender a realizar un proceso repetible y verificado en la realidad, para encontrar de manera consistente estas fallas en sus organizaciones. El participante aprenderá una metodología para pruebas de cuatro fases, además de la configuración y utilización de las herramientas para realizar pruebas satisfactorias. Comprender como se realiza la comunicación entre todas las partes involucradas en una aplicación web. Seleccionar y utilizar los diferentes métodos, además de técnicas para realizar los ataques más relevantes, como por ejemplo; Inyección de Comandos, Recorrido de Directorios, Inyección SQL, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), entre muchas vulnerabilidades más.
Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...RootedCON
Con más de dos mil millones de teléfonos móviles en el mercado y una proyección que posiciona el comercio móvil en más del 50 % de todos los negocios minoristas en 2020, no es de extrañar que los ciberdelincuentes estén centrando una gran parte de sus esfuerzos en las aplicaciones móviles.
En ElevenPaths, la Unidad de Ciberseguridad de Telefónica, hemos investigado el estado de las amenazas móviles actuales y el nivel de preparación de las aplicaciones, con algunos hallazgos preocupantes. En esta presentación proporcionaremos estadísticas y perspectivas sobre la madurez de la seguridad de las aplicaciones móviles, sus desarrolladores y sus usuarios, y, además, brindaremos recomendaciones y mejores prácticas para el desarrollo de aplicaciones móviles.
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
Descripción:
Se explicarán las cuatro fases del proceso de pruebas de penetración contra aplicaciones web. Se inicia examinando la perspectiva mental del atacante. Las partes de una Prueba de Penetración y definición de su alcance. La primeras fases del reconocimiento y mapeo del proceso proporcionan los fundamenteos necesarios para controlar la aplicación. En la fase de descubrimiento se exponen diversas debilidades dentro de las aplicaciones. Además de mapear los vectores de ataque a utilizar contra la aplicación. El descubrimiento también se enfoca en los componentes del lado del cliente. En la fase final de explotación se lanzan los ataques planificados y creados durante las tres fases previas.
Objetivo:
El objetivo de este Taller Virtual es proporcionar al participante una introducción a las Pruebas de Penetración contra Aplicaciones Web. Para este propósito se expondrá la teoría con ayuda de ejercicios y ejemplos prácticos utilizando máquinas virtuales y las diferentes herramientas incluidas en Samurai WTF.
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...RootedCON
Un vistazo a las problemáticas de Seguridad a las que se enfrenta una empresa del sector de apuestas deportivas online que además dispone de entorno presencial. Regulaciones, Ataques, Desarrollo propio y una mezcla de entornos que cada vez hace mas complicado lidiar con los ataques de hoy en día.
Catalogo de servicios de la empresa de seguridad informatica N3XAsec.
En N3XAsec, les damos las herramientas necesarias para poder convertirse en un experto de la seguridad informática, mediante nuestro plan de certificaciones para distintos perfiles, incluyendo certificaciones de alto nivel técnico implementado a nivel militar como lo es la CPTE
El objetivo del tema es conocer cómo proteger una aplicación web contra los fallos más comunes (SQL Injection,
XSS, Command Execution, File Inclusion, etc.).
Dentro de la exposición se presentara teórica y ejemplificación sobre los distintos tipos de fallos comunes y su
manera de resolverlo, en la parte teórica Conceptos básicos de Seguridad, Tipos de Ataques dentro de
Aplicaciones Web.
En el área de ejemplos se mostrara los ataques típicos que se realiza dentro de Aplicaciones Web (Cross Site
Scripting, Cross Site Request Forgeries, Inyección de SQL, manipulación de variables, etc.) y como solucionarlo,
Aspectos de Seguridad en Content Management Systems CMS (Wordpress, Joomla y Drupal).
Finalmente se terminara el curso dando consejos de seguridad básicos para el desarrollo sea el lenguaje que se
elija para la construcción de las aplicaciones.
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
Descripción:
Se explicarán las cuatro fases del proceso de pruebas de penetración contra aplicaciones web. Se inicia examinando la perspectiva mental del atacante. Las partes de una Prueba de Penetración y definición de su alcance. La primeras fases del reconocimiento y mapeo del proceso proporcionan los fundamenteos necesarios para controlar la aplicación. En la fase de descubrimiento se exponen diversas debilidades dentro de las aplicaciones. Además de mapear los vectores de ataque a utilizar contra la aplicación. El descubrimiento también se enfoca en los componentes del lado del cliente. En la fase final de explotación se lanzan los ataques planificados y creados durante las tres fases previas.
Objetivo:
El objetivo de este Taller Virtual es proporcionar al participante una introducción a las Pruebas de Penetración contra Aplicaciones Web. Para este propósito se expondrá la teoría con ayuda de ejercicios y ejemplos prácticos utilizando máquinas virtuales y las diferentes herramientas incluidas en Samurai WTF.
En la Certificacion C)FI-IR el profesional podra realizar investigaciones forenses , atención a incidencias informáticas ocasionadas por perdida, intencionales o accidentales de información, así como el robo de información., Contamos con certificaciones de nivel militar en informática forense.
Descripción:
Las vulnerabilidades de seguridad, tales como configuraciones incorrectas, sistemas sin parches, arquitecturas inadecuadas, continúan plagando las organizaciones. Las empresas necesitan personal que encuentre estas fallas de forma profesional, para erradicarlas de la infraestructura tecnológica. Algunas personas pueden tener habilidades en Pruebas de Penetración, Hacking Ético, o Evaluaciones de Seguridad, pero muy pocas pueden aplicar estas habilidades con un régimen metódico de evaluaciones profesionales para ayudar incrementar el nivel de seguridad en las organizaciones. Este curso enseña a los participantes la manera de realizar Pruebas de Penetración a redes de forma satisfactoria para mejorar la postura de seguridad de la empresa.
Objetivos:
Los participantes aprenderán a realizar un reconocimiento detallado, aprenderán sobre infraestructura del objetivo, mediante investigación en blogs, buscadores, y redes sociales. Luego se enfocará la atención en la fase de escaneo, experimentando con algunas herramientas en ejercicios prácticos. La fase de explotación incluye la utilización de Frameworks de explotación, exploits manuales y otras tácticas valiosas, todo realizado con ejercicios prácticos en un entorno de laboratorio controlado. El curso también mostrará como preparar un reporte ejecutivo. Durante el desarrollo del curso se incluyen ejercicios prácticos para realizar una prueba de penetración contra una organización hipotética, siguiendo todos las fases detalladas.
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
NSE es una de las funcionalidades más potentes y flexibles de Nmap. Permite a los usuarios escribir scripts simples para automatizar una amplia variedad de tareas para redes. Estos scripts se ejecutan en paralelo con la velocidad y eficiencia conocida de Nmap. Los usuarios confían en el creciente y diverso conjunto de scripts distribuidos con Nmap, o también pueden escribir los propios para satisfacer necesidades específicas. En este webinar se expone; utilizando ejemplos y demostraciones prácticas; diversos scripts (NSE) factibles de ser utilizados para Hacking Web.
Como profesionales en ciberseguridad, se tiene la única responsabilidad de encontrar y entender las vulnerabilidades de la organización, para trabajar diligentemente en mitigarlas antes de estas sean aprovechadas por atacantes maliciosos. Este curso abarca las herramientas, técnicas y metodologías para hacer pruebas de penetración contra redes, preparando para realizar proyectos de pruebas de penetración paso a paso. Todas las organizaciones necesitan personal experimentados en seguridad de la información, quien pueda encontrar vulnerabilidades y mitigar sus efectos. Con este curso se estará en la capacidad de realizar pruebas de penetración, aplicando los conocimientos, herramientas, y principios abarcados a través del mismo. Descubriendo y explotando vulnerabilidades en entornos reales, demostrando así los conocimientos asimilados.
Este curso enseña a los participantes a realizar un reconocimiento detallado, estudiando la infraestructura del objetivo mediante búsquedas en blogs, motores de búsqueda, redes sociales y otras infraestructuras en Internet e Intranet. Se escanean las redes objetivo utilizando las mejores herramientas disponibles. Se abarcan las mejores opciones, configuraciones y capacidades de las herramientas para pruebas de penetración. Luego se exponen diversos métodos de explotación para ganar acceso hacia los sistemas objetivo, y de esta manera medir el riesgo real para la organización. Después se realizan acciones posteriores a la explotación y ataques a contraseñas. Todos los ataques se desarrollan en un laboratorio de pruebas controlado.
En la actualidad es muy común trabajar en cualquier investigación forense relacionada a un componente de red. El forense de computadoras siempre será un habilidad fundamental y crítica para esta profesión, pues obviar las comunicaciones de red, es similar a ignorar las imágenes proporcionadas por las cámaras de seguridad correspondientes a un crimen cometido. Ya sea se enfrente un incidente relacionado con una intrusión, un caso de robo de datos, uso indebido por parte de los empleados, o se esté involucrado en el descubrimiento proactivo del adversario, la red frecuentemente proporciona una vista incomparable del incidente. Esta evidencia puede proporcionar la prueba necesaria para mostrar intencionalidad, descubrir los atacantes han estado activos por meses o más, o incluso puede resultar útil para probar definitivamente la ocurrencia de un delito.
Este curso enseña a construir los conocimientos críticos fundamentales necesarios para realizar investigaciones eficientes y efectivas. Enfocándose en el conocimiento necesario para expandir la mentalidad forense, desde los datos residuales contenidos en los medios de almacenamiento de un sistema o dispositivo, hasta las comunicaciones transitorias las cuales ocurrieron anteriormente o continúen ocurriendo. Incluso si un atacante remoto muy hábil compromete un sistema con un exploit indetectable, el sistema debe comunicarse a través de la red. Sin los canales de comando y control para la extracción de datos, el valor de un sistema comprometido se reduce casi a cero. Expresado de otra manera; mientras los atacantes se comunican a través de la red, este curso enseña como es factible escucharlos de diversas maneras.
Las aplicaciones web tienen un rol importante en todas las organizaciones modernas. Pero si la organización no evalúa y asegura adecuadamente sus aplicaciones web, los atacantes maliciosos pueden comprometer estas aplicaciones, dañar la funcionalidad de la empresa, y robar datos. Desafortunadamente muchas organizaciones operan bajo la errada percepción, de confiar el descubrimiento de las fallas en sus sistemas a escaners automáticos de seguridad en aplicaciones web. No existe un parche o solución total para las aplicaciones web personalizadas, por lo tanto los atacantes maliciosos se orientan cada vez más en estos objetivos de alto valor.
En este curso se enseña a los participantes a entender las principales fallas en las aplicaciones web y su explotación;y lo más importante; aprender a realizar un proceso repetible y verificado en la realidad, para encontrar de manera consistente estas fallas en sus organizaciones. El participante aprenderá una metodología para pruebas de cuatro fases, además de la configuración y utilización de las herramientas para realizar pruebas satisfactorias. Comprender como se realiza la comunicación entre todas las partes involucradas en una aplicación web. Seleccionar y utilizar los diferentes métodos, además de técnicas para realizar los ataques más relevantes, como por ejemplo; Inyección de Comandos, Recorrido de Directorios, Inyección SQL, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), entre muchas vulnerabilidades más.
Víctor M. Mundilla & José Torres - ¿Seguro que son seguras? Reflexiones tras ...RootedCON
Con más de dos mil millones de teléfonos móviles en el mercado y una proyección que posiciona el comercio móvil en más del 50 % de todos los negocios minoristas en 2020, no es de extrañar que los ciberdelincuentes estén centrando una gran parte de sus esfuerzos en las aplicaciones móviles.
En ElevenPaths, la Unidad de Ciberseguridad de Telefónica, hemos investigado el estado de las amenazas móviles actuales y el nivel de preparación de las aplicaciones, con algunos hallazgos preocupantes. En esta presentación proporcionaremos estadísticas y perspectivas sobre la madurez de la seguridad de las aplicaciones móviles, sus desarrolladores y sus usuarios, y, además, brindaremos recomendaciones y mejores prácticas para el desarrollo de aplicaciones móviles.
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
Descripción:
Se explicarán las cuatro fases del proceso de pruebas de penetración contra aplicaciones web. Se inicia examinando la perspectiva mental del atacante. Las partes de una Prueba de Penetración y definición de su alcance. La primeras fases del reconocimiento y mapeo del proceso proporcionan los fundamenteos necesarios para controlar la aplicación. En la fase de descubrimiento se exponen diversas debilidades dentro de las aplicaciones. Además de mapear los vectores de ataque a utilizar contra la aplicación. El descubrimiento también se enfoca en los componentes del lado del cliente. En la fase final de explotación se lanzan los ataques planificados y creados durante las tres fases previas.
Objetivo:
El objetivo de este Taller Virtual es proporcionar al participante una introducción a las Pruebas de Penetración contra Aplicaciones Web. Para este propósito se expondrá la teoría con ayuda de ejercicios y ejemplos prácticos utilizando máquinas virtuales y las diferentes herramientas incluidas en Samurai WTF.
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...RootedCON
Un vistazo a las problemáticas de Seguridad a las que se enfrenta una empresa del sector de apuestas deportivas online que además dispone de entorno presencial. Regulaciones, Ataques, Desarrollo propio y una mezcla de entornos que cada vez hace mas complicado lidiar con los ataques de hoy en día.
Catalogo de servicios de la empresa de seguridad informatica N3XAsec.
En N3XAsec, les damos las herramientas necesarias para poder convertirse en un experto de la seguridad informática, mediante nuestro plan de certificaciones para distintos perfiles, incluyendo certificaciones de alto nivel técnico implementado a nivel militar como lo es la CPTE
El objetivo del tema es conocer cómo proteger una aplicación web contra los fallos más comunes (SQL Injection,
XSS, Command Execution, File Inclusion, etc.).
Dentro de la exposición se presentara teórica y ejemplificación sobre los distintos tipos de fallos comunes y su
manera de resolverlo, en la parte teórica Conceptos básicos de Seguridad, Tipos de Ataques dentro de
Aplicaciones Web.
En el área de ejemplos se mostrara los ataques típicos que se realiza dentro de Aplicaciones Web (Cross Site
Scripting, Cross Site Request Forgeries, Inyección de SQL, manipulación de variables, etc.) y como solucionarlo,
Aspectos de Seguridad en Content Management Systems CMS (Wordpress, Joomla y Drupal).
Finalmente se terminara el curso dando consejos de seguridad básicos para el desarrollo sea el lenguaje que se
elija para la construcción de las aplicaciones.
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
Descripción:
Se explicarán las cuatro fases del proceso de pruebas de penetración contra aplicaciones web. Se inicia examinando la perspectiva mental del atacante. Las partes de una Prueba de Penetración y definición de su alcance. La primeras fases del reconocimiento y mapeo del proceso proporcionan los fundamenteos necesarios para controlar la aplicación. En la fase de descubrimiento se exponen diversas debilidades dentro de las aplicaciones. Además de mapear los vectores de ataque a utilizar contra la aplicación. El descubrimiento también se enfoca en los componentes del lado del cliente. En la fase final de explotación se lanzan los ataques planificados y creados durante las tres fases previas.
Objetivo:
El objetivo de este Taller Virtual es proporcionar al participante una introducción a las Pruebas de Penetración contra Aplicaciones Web. Para este propósito se expondrá la teoría con ayuda de ejercicios y ejemplos prácticos utilizando máquinas virtuales y las diferentes herramientas incluidas en Samurai WTF.
En la Certificacion C)FI-IR el profesional podra realizar investigaciones forenses , atención a incidencias informáticas ocasionadas por perdida, intencionales o accidentales de información, así como el robo de información., Contamos con certificaciones de nivel militar en informática forense.
Descripción:
Las vulnerabilidades de seguridad, tales como configuraciones incorrectas, sistemas sin parches, arquitecturas inadecuadas, continúan plagando las organizaciones. Las empresas necesitan personal que encuentre estas fallas de forma profesional, para erradicarlas de la infraestructura tecnológica. Algunas personas pueden tener habilidades en Pruebas de Penetración, Hacking Ético, o Evaluaciones de Seguridad, pero muy pocas pueden aplicar estas habilidades con un régimen metódico de evaluaciones profesionales para ayudar incrementar el nivel de seguridad en las organizaciones. Este curso enseña a los participantes la manera de realizar Pruebas de Penetración a redes de forma satisfactoria para mejorar la postura de seguridad de la empresa.
Objetivos:
Los participantes aprenderán a realizar un reconocimiento detallado, aprenderán sobre infraestructura del objetivo, mediante investigación en blogs, buscadores, y redes sociales. Luego se enfocará la atención en la fase de escaneo, experimentando con algunas herramientas en ejercicios prácticos. La fase de explotación incluye la utilización de Frameworks de explotación, exploits manuales y otras tácticas valiosas, todo realizado con ejercicios prácticos en un entorno de laboratorio controlado. El curso también mostrará como preparar un reporte ejecutivo. Durante el desarrollo del curso se incluyen ejercicios prácticos para realizar una prueba de penetración contra una organización hipotética, siguiendo todos las fases detalladas.
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
NSE es una de las funcionalidades más potentes y flexibles de Nmap. Permite a los usuarios escribir scripts simples para automatizar una amplia variedad de tareas para redes. Estos scripts se ejecutan en paralelo con la velocidad y eficiencia conocida de Nmap. Los usuarios confían en el creciente y diverso conjunto de scripts distribuidos con Nmap, o también pueden escribir los propios para satisfacer necesidades específicas. En este webinar se expone; utilizando ejemplos y demostraciones prácticas; diversos scripts (NSE) factibles de ser utilizados para Hacking Web.
Certificación Internacional en Ethical Hacking
Modulo 2 Hacking Ético
Días de Clases: Sábado 24 y Domingo 25 de Septiembre del 2022
Horario de clases sabatina 10:00 a 13:00 hrs / 15:00 a 20:00 hrs y dominical de 10:00 a 13:00 hrs
Según curso de Seguridad Informática, dispositivos que detectado como JS_JITON, este JavaScript se puede descargar si los usuarios están accediendo a sitios web comprometidos a través de sus ordenadores o dispositivos móviles.
El curso tendrá por objetivo introducir a los asistentes en las pruebas que deben realizarse para detectar, explotar y corregir vulnerabilidades en aplicaciones web. Los principales temas que serán los siguientes:
- Introducción y uso de herramientas (Mantra & BurpSuite)
- Enumeración y análisis de aplicaciones web
- Detección y explotación de vulnerabilidades comunes
- SQL Injection
- Cross-Site Scripting (XSS)
- RFI / LFI
- Credenciales por defecto
- Enumeración de usuarios
- Uso de fuerza bruta
- Otras vulnerabilidades…
- Post-Explotación y acceso al sistema
- Principios para la fortificación de aplicaciones web
3. Mejorar y actualizar la capacitación personal de seguridad de sistemas y
desarrolladores de aplicaciones web y/o móviles en los procesos
concernientes a la defensa tanto preventiva como reactiva de las
aplicaciones web y/o móviles, así como en la defensa de la integridad,
confidencialidad, disponibilidad e irrefutabilidad de los datos y
transacciones por estas procesados.
Objetivo General del Curso:
4. • Actualizar al participante en la filosofía seguridad necesaria para los
procesos de desarrollo de software, instalación de software de terceros y
mantenimiento de plataformas para ambos casos.
• Introducir al participante en el conocimiento de la mentalidad,
comportamiento, motivaciones y entorno de los diferentes tipos de
atacante.
• Mostrar al participante los motivos por los cuales sus aplicaciones web y
móviles son inseguras.
• Introducir al participante en el conocimiento de las técnicas de intrusión
utilizadas por el atacante mediante ejemplos prácticos y ejercicios de
ataque a servidores intencionalmente vulnerables.
Objetivos en detalle:
5. • Mostrar al asistente los errores de desarrollo, programación, instalación y
mantenimiento más comunes, basados en los estándares OWASP y WASC.
• Desarrollo de ejemplos prácticos de errores de puesta en marcha de
servidores IIS y Apache mediante ejemplos y ejercicios sobre servidores
intencionalmente vulnerables
• Mostrar al asistente las técnicas de prevención, control, detección y
corrección de vulnerabilidades de las aplicaciones web y móviles en sus
entornos operativos.
• Inducir al uso de “scanners” de vulnerabilidades mediante ejemplos y
ejercicios prácticos sobre servidores intencionalmente vulnerables
• Proveer al asistente de acceso a una serie de recursos y utilidades que le
faciliten el cumplimiento de los objetivos expuestos.
Objetivos en detalle (continuación:
6. Contenido programático:
Introducción
• Ley de Murphy aplicada a la seguridad de aplicaciones web y móviles
• ¿Quiénes y porqué atacan a las aplicaciones web y móviles?
• ¿Qué es en realidad un hacker? Más allá del mito de Hollywood…
• Pensar como un hacker…
• ¿Qué motiva a un hacker?
• H4c|<3r j4rg0n (Hacker jargon)
• ¿Porqué atacan a las aplicaciones web?
• ¿Porqué atacan a las aplicaciones móviles?
7. Contenido programático (cont):
Vulnerabilidades de las aplicaciones web y cómo
remediarlas
• Decálogo de seguridad del desarrollo de aplicaciones web
• Anatomía de un ataque a una aplicación web
• ¿Qué es OWASP?
• Proyectos OWASP
• ¿Qué es el OWASP Top Ten 2010?
1. Inyección de código o de comandos.
2. Cross Site Scripting, XSS.
3. Autentificación de usuarios y manejo de sesión débiles
4. Objetos referenciados directamente de forma insegura.
5. Cross Site Request Forgery (CRSF).
6. Fallas de Configuración de Seguridad.
7. Almacenamiento criptográfico inseguro
8. Fallas en restricción de acceso a URLs.
9. Insuficiente protección en la capa de transporte.
10. Redirecciones y reenvíos sin debida validación.
8. Vulnerabilidades de las aplicaciones web y cómo
remediarlas
Cada uno de los tipos de vulnerabilidades del top 10 OWASP serán probados por
los asistentes mediante ejercicios de ataque e intrusión a una aplicación web
deliberadamente vulnerable.
Conocimiento de las herramientas de aprendizaje para los diferentes casos y
plataformas de desarrollo:
• OWASP WEBGOAT
• Otras herramientas de intrusión deliberadamente vulnerables
Contenido programático (cont):
9. • Clasificación de amenazas WASC
• Los 25 errores de código más peligrosos – CWE / SANS
• Escanners de Vulnerabilidades (Comerciales).
• Escanners de Vulnerabilidades (Open Source).
• Test de escaneo de vulnerabilidades sobre servidor
intencionalmente vulnerable.
• OWASP Cheat Sheets (Hojas de trucos).
• Application Failure DoS.
• Tipos de Application Failure DoS y razones por las
que son factibles.
• Cómo prevenirlos.
• Técnicas de mitigación de ataques de DDoS
• Ensayos de técnicas de DoS sobre servidores
deliberadamente vulnerables.
• Ensayos y ejemplos prácticos sobre librerías
de cifrado y técnicas de cifrado compuestas
Contenido programático (cont):
10. Resumen del documento OWASP
Secure Coding Práctices
• Input Validation.
• Output encoding.
• Authentication and Password Management.
• Session Control.
• Uso de librerías de control y validación de input y output más comunes
por plataformas e instalación con ejemplos en vivo y ejercicios.
Técnicas de ataque directo al usuario.
• Nuevas amenazas y nuevas versiones de amenazas conocidas
• Spear Phishing y Whale Phishing.
• Tab Nabbing.
• Pharming local.
• Man in the Browser Attack.
• MIM attack (sniffers, keyloggers y otros).
• Troyanos Bancarios Especializados.
• Phishing Móvil, Vishing.
11. • Phishing Tradicional
• Análisis detallados de las técnicas utilizadas por el atacante.
• El costo real del Phishing.
• Cálculo del costo por hora y acumulativo del Phishing.
• Filtros Anti Phishing.
• Datos a tomar en cuenta en un ataque de Phishing.
• Cómo defenderse de un ataque de Phishing.
• Procesos para denunciar el sitio de Phishing.
• Montando un phishing en tiempo real (ejercicio)
• Phishing Avanzado - Nuevas modalidades y variantes
• Spear-Phishing
• Vishing - Phishing VoIP
• Phishing Móvil!
• Ataques simultáneos basados en diferentes servidores de sitios web
comprometidos.
• Ataques basados en múltiples dominios de recepción.
• Social Network Phishing (Ejercicio en tiempo real)
Contenido programático (cont):
12. • Tab Nabbing. (ejemplos prácticos)
• Pharming:
• Tipos de Pharming
• Pharming – Proceso de ataque
• Clickjacking y técnicas de prevención del mismo.
• Sniffing.
• Captura de encabezados HTTP (HTTP sniffing).
• Keyloggers. (Ejemplos en tiempo real)
• MIB (Man in the Browser).
Contenido programático (cont):
13. Debilidades de las aplicaciones web que afectan
directamente a sus usuarios.
• Debilidades que pueden comprometer la verificación de autenticidad del
sitio por parte del usuario.
• Debilidades que facilitan el phishing u otros problemas de clonación del
sitio.
• Debilidades que facilitan el escaneo del sitio y la búsqueda de
vulnerabilidades.
• Debilidades que permiten la captura de datos por parte de BHO’s,
keyloggers y troyanos especializados y otros tipos de “malware”.
• Debilidades que facilitan métodos de ingreso por fuerza bruta o el uso de
herramientas de escaneo.
• Debilidades que facilitan ataques de XSS, Clickjacking y otros.
• Debilidades referentes al SSL o HTTPS.
Contenido programático (cont):
14. Análisis de técnicas de defensa directa y prevención
de ataques.
• Los Teclados Virtuales.
• Autentificación Bidireccional.
• Autentificación multi-plataforma.
• Handlers de imágenes con control de referencia.
• Handlers de scripts.
• Web Application Firewalls (WAF).
• Honeypots.
• Bloqueadores de detectores de vulnerabilidades.
• Bloqueadores de escaneo.
• Rastreadores de comportamiento del usuario.
• Bitácoras de aplicación.
• Manejadores de logs.
• Técnicas de control de errores avanzadas.
• Desarrollo en tiempo real de un bloqueador de “scanners” de
vulnerabilidades
Contenido programático (cont):
15. Capítulo especial: Seguridad de
Aplicaciones móviles
• Nuevos entornos, nuevas amenazas.
• Introducción rápida al ecosistema de las aplicaciones móviles.
• Sistemas operativos, plataformas, entornos de desarrollo y
entornos de desarrollo multiplataforma
• El don de la ubicuidad como estímulo al incremento de ataques.
• Tipos de aplicaciones móviles en relación a su seguridad.
• Factores que promueven el aumento de vulnerabilidades en las
aplicaciones móviles.
• Amenazas a la privacidad del usuario basadas en nuevos tipos de
datos “no tradicionales”.
• Interrelación de seguridad entre aplicaciones móviles y servicios
ubicados en la web.
• Vulnerabilidades específicas de los entornos de aplicaciones
móviles.
• OWASP Mobile Security Project.
• Top 10 Mobile Risks, Release Candidate v1.0
• OWASP GoatDroid
Contenido programático (cont):
16. Vulnerabilidades de aplicaciones móviles y como remediarlas:
• Qué es el OWASP Mobile Security Proyect
• Los 10 riesgos más importantes de las aplicaciones móviles
17. Dictado por:
Mauro Maulini Rubiera.
Experimentado desarrollador y programador especializado en seguridad web
con más de 18 años dedicados en el área de lnternet y desarrollos de
aplicaciones web y aplicaciones móviles.
Con experiencia comprobada en desarrollo de plataformas bancarias en la web
para bancos e instituciones en Venezuela. Actualmente presidente de e-
Securing C.A., empresa que ofrece soluciones de seguridad web para empresas
financieras.
Creador de los conocidos estudios:
Vulnerabilidades de la Banca en Línea,
Capítulos Venezuela, Guatemala y Ecuador.
Más información en:
http://tecnologiasweb.blogspot.com/p/acerca-de-mi.html
Ha dictado este curso para 8 de las 10 entidades
bancarias más importantes en Venezuela, también
para la Asociación Bancaria de Guatemala y
recientemente en Quito y Guayaquil (Ecuador) en
asociación con Banred S.A.
18. Información adicional:
En el curso se utilizarán ejemplos prácticos en la mayoría
de los casos, creados mediante código intencionalmente
vulnerable o en aplicaciones deliberadamente vulnerables
bajo entornos controlados.
Todos los ejemplos de código necesarios se presentan en
tres lenguajes de desarrollo, a saber: Java (jsp), C#
ASP.NET y PHP.
Todos los capítulos cerrarán con ejercicios y tutoriales
específicos para los asistentes.
Se proveerá un servidor preparado con aplicaciones
deliberadamente vulnerables a las que los asistentes
intentarán atacar
Los ejemplos relativos a aplicaciones móviles serán
presentados en Android y/o Windows Phone 7.5
Duración del curso: 20 horas (+/- 2 horas
dependiendo de la asistencia).
19. Para más información puede comunicarse con:
Mauro Maulini R.
http://tecnologíasweb.blogspot.com
@backslask on Twitter
Porlamar - Isla de Margarita - Venezuela
+58 295 4160387
+58 414 0894627
Contáctame por Skype
callto:mauro.maulini