Bonsai Information Security - Education

Web Application
Security Training

El curso de seguridad en aplicaciones Web de Bonsai se focaliza en enseñar a los asistentes las distintas vulnerabilidades Web y la manera en la cual estas pueden ser identificadas de manera manual ó automatizada. Durante el curso se enseñarán los conceptos teóricos, seguidos por prácticas hands-on realizadas en el laboratorio especialmente diseñado para el curso.

Nuestra experiencia en capacitación nos ha ayudado a crear el mejor training de Web Application Security, el cual está orientado a la comprensión del código fuente: para cada tema un segmento de código vulnerable es presentado; e independiente del lenguaje: en la clase los asistentes aprenderán sobre vulnerabilidades en Java, PHP, ASP.NET, ASP, Ruby y Python.

Play this video
Our training courses Video duration: 23 seconds

El curso fue desarrollado para que participantes con variados niveles de conocimiento se puedan beneficiar lo más posible. Durante la primer hora, se repasarán conceptos básicos de HTTP y técnicas genéricas de descubrimiento de vulnerabilidades, para luego incrementar gradualmente el nivel de dificultad hasta llegar a comprender e identificar las vulnerabilidades más complejas. Expertos en seguridad informática, como así también desarrolladores de aplicaciones Web se beneficiarán con este curso.

Para vulnerabilidades como inyecciones SQL e inclusiones remotas de archivos, el orador explicará y demostrará las diferentes técnicas de explotación, con el objetivo de mostrar a los asistentes los riesgos reales relacionados con estas vulnerabilidades.

Para garantizar la calidad de nuestro curso, tendremos un máximo de dieciséis asistentes, cada uno con su propia computadora provista por Bonsai, y conectada al laboratorio de capacitación.


Objetivos

Proveer a los asistentes de los conocimientos, herramientas y técnicas necesarias para comprender los distintos tipos de vulnerabilidades Web existentes, para que luego ellos mismos sean capaces de identificarlas.

Comprender las vulnerabilidades en un ámbito teórico y ser capaces de identificar las mismas en los ejemplos prácticos del laboratorio.

Aplicar en un entorno controlado y con metodología hands-on las herramientas utilizadas por los profesionales en el área tales como w3af (desarrollada por el disertante), burp y sqlmap; para aprender sobre sus funcionalidades principales.


Temario

  1. Introducción al protocolo HTTP
    1. Requerimientos y Respuestas
    2. Encabezados HTTP
    3. Secure Socket Layer (SSL)

  2. Conceptos generales para desarrollo seguro de aplicaciones Web
    1. Variables manchadas
    2. Funciones sensibles
    3. Funciones de validación

  3. Tipos de análisis:
    1. Static code análisis, black box testing and gray box testing
      1. Definiciones
      2. Vulnerabilidades que pueden ser detectadas
      3. Vulnerabilidades que no pueden ser detectadas

  4. Errores comunes de configuración y desarrollo
    1. Comentarios HTML y versionamiento
    2. Archivos de Backup
    3. Bases de datos locales
    4. Campos HTML ocultos
    5. Enumeración de directorios
    6. Directory Indexing

  5. Vulnerabilidades en Aplicaciones Web
    1. Mensajes de error y excepciones
    2. Path Disclosure
    3. OS Commanding
    4. Local file read
    5. Inclusión local de archivos
    6. Path Traversal and Null Bytes
    7. Remote file inclusions
    8. HTTP Response Splitting
    9. Vectores de ataque poco comunes
    10. LDAP Injection
    11. PHP preg_replace vulnerabilities
    12. SQL Injection
    13. Blind SQL Injection
    14. Cross Site Scripting (XSS)
    15. Cross Site Request Forgeries / Session Riding

  6. Escalación de privilegios en aplicaciones Web

  7. Vulnerabilidades en la lógica de la aplicación

  8. Controles de autorización a objetos

  9. Consideraciones de seguridad en Web services

  10. Vulnerabilidades en aplicaciones Web 2.0



Entregables

Los entregables del training incluyen:

  1. Carpeta con las diapositivas del training
  2. Live CD con herramientas de seguridad en aplicaciones Web utilizado durante el training
  3. Imagen de VMware con el ambiente de training
  4. Certificado de asistencia

Trainer

La capacitación será brindada por Nahuel Grisolía, un experto en el campo de la seguridad en aplicaciones Web, con más de cuatro años de experiencia en investigación e implementación en el tema, con el apoyo de Andrés Riancho, fundador de Bonsai Information Security.


Información adicional

La capacitación se llevará a cabo en el mes de Julio en Capital Federal, Buenos Aires - Argentina.

Las formas de pago disponibles son: Efectivo, Transferencia Bancaria, Cheque y Dinero Mail.

Si tiene otras preguntas, contáctenos.