Web Application
Security Training

El curso de seguridad en aplicaciones Web de Bonsai se focaliza en enseñar a los asistentes las distintas vulnerabilidades Web y la manera en la cual estas pueden ser identificadas de manera manual ó automatizada. Durante el curso se enseñarán los conceptos teóricos, seguidos por prácticas hands-on realizadas en el laboratorio especialmente diseñado para el curso.

Nuestra experiencia en capacitación nos ha ayudado a crear el mejor training de Web Application Security, el cual está orientado a la comprensión del código fuente: para cada tema un segmento de código vulnerable es presentado; e independiente del lenguaje: en la clase los asistentes aprenderán sobre vulnerabilidades en Java, PHP, ASP.NET, ASP, Ruby y Python.

El curso fue desarrollado para que participantes con variados niveles de conocimiento se puedan beneficiar lo más posible. Durante la primer hora, se repasarán conceptos básicos de HTTP y técnicas genéricas de descubrimiento de vulnerabilidades, para luego incrementar gradualmente el nivel de dificultad hasta llegar a comprender e identificar las vulnerabilidades más complejas. Expertos en seguridad informática, como así también desarrolladores de aplicaciones Web se beneficiarán con este curso.

Para vulnerabilidades como inyecciones SQL e inclusiones remotas de archivos, el orador explicará y demostrará las diferentes técnicas de explotación, con el objetivo de mostrar a los asistentes los riesgos reales relacionados con estas vulnerabilidades.

Para garantizar la calidad de nuestro curso, tendremos un máximo de diez asistentes, cada uno con su propia computadora provista por Bonsai, y conectada al laboratorio de capacitación.

Objetivos

Proveer a los asistentes de los conocimientos, herramientas y técnicas necesarias para comprender los distintos tipos de vulnerabilidades Web existentes, para que luego ellos mismos sean capaces de identificarlas.

Comprender las vulnerabilidades en un ámbito teórico y ser capaces de identificar las mismas en los ejemplos prácticos del laboratorio.

Aplicar en un entorno controlado y con metodología hands-on las herramientas utilizadas por los profesionales en el área tales como w3af (desarrollada por el disertante), burp y sqlmap; para aprender sobre sus funcionalidades principales.

Temario

1. Introducción al protocolo HTTP
1. Requerimientos y Respuestas
2. Encabezados HTTP
3. Secure Socket Layer (SSL)


2. Conceptos generales para desarrollo seguro de aplicaciones Web
1. Variables manchadas
2. Funciones sensibles
3. Funciones de validación


3. Tipos de análisis:
1. Static code análisis, black box testing and gray box testing
1. Definiciones
2. Vulnerabilidades que pueden ser detectadas
3. Vulnerabilidades que no pueden ser detectadas


4. Errores comunes de configuración y desarrollo
1. Comentarios HTML y versionamiento
2. Archivos de Backup
3. Bases de datos locales
4. Campos HTML ocultos
5. Enumeración de directorios
6. Directory Indexing


5. Vulnerabilidades en Aplicaciones Web
1. Mensajes de error y excepciones
2. Path Disclosure
3. OS Commanding
4. Local file read
5. Inclusión local de archivos
6. Path Traversal and Null Bytes
7. Remote file inclusions
8. HTTP Response Splitting
9. Vectores de ataque poco comunes
10. LDAP Injection
11. PHP preg_replace vulnerabilities
12. SQL Injection
13. Blind SQL Injection
14. Cross Site Scripting (XSS)
15. Cross Site Request Forgeries / Session Riding


6. Escalación de privilegios en aplicaciones Web


7. Vulnerabilidades en la lógica de la aplicación


8. Controles de autorización a objetos


9. Consideraciones de seguridad en Web services


10. Vulnerabilidades en aplicaciones Web 2.0

Locación

La capacitación de Web Application Security se llevará a cabo en IT Training Center, ubicado en Sarmiento 1113 - 3er piso, Capital Federal.

Entregables

Los entregables del training incluyen:

1. Carpeta con las diapositivas del training
2. Live CD con herramientas de seguridad en aplicaciones Web utilizado durante el training
3. Imagen de VMware con el ambiente de training
4. Certificado de asistencia

Trainer

La capacitación será brindada por Andrés Riancho, un experto en el campo de la seguridad en aplicaciones Web, con más de cinco años de experiencia en investigación e implementación de este tema.

Información adicional

The training course is going to be delivered in four classes of three and a half hours, from 18:30 to 22:00 on Tuesdays; starting July the 14th. You have time to sign in until July the 10th, so hurry up!

El costo de la capacitación es de $1024.- por asistente y puede ser pagado utilizando los siguientes métodos:

1. Transferencia bancaria (10% de descuento)
2. Efectivo
3. Y también con estas tarjetas de crédito (en 1 a 12 cuotas) y métodos de pago alternativos:

Los miembros de OWASP obtienen un 20% de descuento!

Si tiene otras preguntas, contáctenos.

• Enlaces rápidos

  • Obtener una cotización de capacitación de seguridad en aplicaciones Web
  • Penetration Test Training
  • w3af Training
  • Web Application Penetration Testing
  • Penetration Testing

• Noticias

  • Second w3af training @ New York

  • Web Application Security training @ FRHACK

  • Web Application Security Training in Buenos Aires