AMECI Asociación Mexicana de Ciberseguridad. Pentesting aplicaciones WEB Versión 2018-V2.0 AM-PTW Modalidad: e-learning Ficha Técnica

Transcripción

1 AMECI Pentesting aplicaciones WEB Versión 2018-V2.0 AM-PTW Modalidad: e-learning Ficha Técnica

2 Datos del Curso Nombre: Pentesting en aplicaciones WEB Duración: 4 semanas Modalidad: e-learning Nivel: Básico-Intermedio Curso organizado por: AMECI México Contacto para información: contacto@ameci.org Objetivo del Curso Hoy en día la mayoría de la empresas disponen de una página, portales o aplicaciones en internet, en estas se ofrece información de la empresa, datos, estadísticas, informes y en muchos caso se entregan servicios o transacciones para contratación o compra de productos. El comercio electrónico es una alternativa y en muchos caso el core principal de la organizaciones y cada día aumenta el número de tiendas online disponibles en la red. Si a ello le sumamos que las tecnologías Web han cambiado mucho desde el inicio de la Web y que ahora permiten ser mucho más dinámicas y funcionales, podemos llegar a la conclusión de que estos sitios web procesan información del día a día de la empresa (clientes, artículos, proveedores, facturas, presupuestos, etc.). Dada la importancia de la información que se procesan, los sistemas de información y las aplicaciones Web que la manejan tienen que ser seguros para garantizar la confidencialidad, integridad y disponibilidad de ésta. Cuál es la figura del pentester en aplicaciones WEB? Cuando una organización decide incursionar en internet ya sea con un portal de presencia, un catálogo de productos, o en el escenario más común ofrecer comercio electrónico para la venta de productos o contratación de servicios, es necesario garantizar que las aplicaciones no tengan fallos, vulnerabilidades o mala codificación, ahí es donde el PENTESTER WEB entra en acción, aplicando técnicas que usan los hackers para aprovecharse y borrar, alterar o robar información. 1

3 La función del PENTESTER WEB es detectar estas fallas y proponer soluciones antes de que estas puedan ser utilizadas en contra de la organización. El participante aprenderá de manera práctica y teórica los siguientes conceptos enfocados al Pentesting para aplicaciones WEB: Introducción a la seguridad web y metodología owasp Fingerprint a servidores web y aplicaciones Test a la gestión de identidades y sesiones Test de autenticación y autorización Test de manejo de errores y cifrado de comunicaciones Test de lado cliente y lógica de negocio Test de validación de datos Visión general de protección de aplicaciones web en organizaciones Metodología Empleada El profesional es capacitado para conocer los elementos que conforman la metodología OWASP aplicada al PENTESTING para aplicaciones WEB Se construye un laboratorio virtual en ambiente controlado a fin de estudiar y aplicar las técnicas de explotación conocidas Se muestra el funcionamiento de las herramientas Se plantea una escenario de ataque con el objetivo de analizar y aplicar técnicas de ataque. Contenidos con un 80% de práctica y un 20% de modelo teórico. 2

4 Contenido Módulo Contenido MÓDULO 1: Introducción el Pentesting WEB Ataques SQL Injection a Base de datos MÓDULO 2: Ataques Cross Site Scripting Ataques File Inlcusion MÓDULO 3: Ataques Session Fixation Ataque Command Injection Ataques Directory Traversal MÓDULO 4: Ataques Directory Traversal Recomendaciones y buenas practicas MÓDULO 5: Otros ataques Recomendaciones y buenas practicas Evaluación Al finalizar el curso se aplicará una evaluación teórico-practica que deberá acreditar con un mínimo de 70 puntos y disponer de una asistencia de más del 80% de las 4 semanas que consta el curso; con lo anterior el alumno obtendrá un reconocimiento acreditativo de los conocimientos adquiridos y las horas del curso. 3

5 A quién va dirigido? Personas que deseen conocer las técnicas en la realización de un análisis de seguridad en aplicaciones web Profesionales interesados en realizar Pentesting WEB por su cuenta o como parte de los programas de seguridad de las organizaciones de las cuales forman parte Los profesionales que deseen aprender cómo implementar las últimas medidas de seguridad Profesionales en seguridad que requieran incrementar sus habilidades y conocimientos Docentes y alumnos que deseen conocer las metodologías y herramientas aplicadas en Pentesting WEB Empresas que deseen capacitar y convertir a sus empleados en expertos de seguridad informática enfocado a aplicaciones WEB Requerimientos previos Conocimientos de redes y protocolos TCP/IP Manejo de sistema operativo LINUX (distribuciones basadas en CentOs y Debian) básico-intermedio Manejo de sistema operativo Windows, versiones XP, 7 o superiores Conocimiento e implementación de virtualización basada en VirtualBox y/o VMWare Conocimientos básicos de bases de datos Fecha de revisión y actualización: Enero