Contexto
Los servicios de Red Team requieren grandes habilidades técnicas para poner a prueba los controles de una organización, El Red Team debe estar preparado para poder evitar los controles avanzados que tenga una compañía para poder realizar ataques sin ser descubiertos y poder cumplir los objetivos del servicio. ¿Qué ocurre cuando una organización tiene fuertes controles de seguridad? ¿Qué debe hacer un Red Team?
En el curso de Pentesting web Avanzado, guiará a los estudiantes a pensar fuera de la caja en entornos donde los sistemas web pueden ser utilizados para lograr los objetivos de un servicio de Red Team. Se presentará una metodología que permitirá a los estudiantes entender por qué ocurren vulnerabilidades en aplicaciones web, logrando desarrollar sus propias herramientas de explotación.
Objetivos
Comprender el funcionamiento de diferentes vulnerabilidades en aplicaciones web, identificar vulnerabilidades en código fuente de aplicaciones web y automatizar la explotación de estas mediante el lenguaje de programación Python, con el fin de que los estudiantes obtengan habilidades para poder buscar vulnerabilidades en entornos reales.
El curso tiene como objetivo especifico de:
-
Conceptos básicos de cómo funcionan las aplicaciones web
-
Desarrollo de script en lenguaje de programación Python
-
Aprender a utilizar un proxy web y sus herramientas
-
Metodología para buscar vulnerabilidades en código fuente de aplicaciones web:
-
Lectura de código fuente
-
Debug de código fuente
-
Flujo de una aplicación
-
Automatización de una vulnerabilidad
Insignia de certificación otorgada por Credly
Equipo Docente

Angel Gangas
Ingeniero en Informática con amplia experiencia como especialista en ciberseguridad ofensiva, se ha desempañado en organizaciones privadas internacionales, actualmente se desempeña en una importante multinacional de ciberseguridad.
Cuenta con 5 certificaciones del Offensive Security: OSEP, OSWE, OSWP, OSCP y OSWP.
Estructura de Contenidos
Pentesting web avanzado :
- Bienvenida
- instalación de ambiente
- introducción a Burp Suite
- Preparar el ambiente para el desarrollo del curso
- Introducción a Buro Suite
- Desarrollo de plugins para Burp
- Preguntas
Cross Site Scripting (XSS) :
- Entender cómo funcionan los XSS
- Explotar XSS
- Automatizar un XSS
- ¿Qué es un XSS?
- Riesgos de los XSS
- Tipos de XSS
- Revisión de código fuente
- Debug
- Explotación de XSS
- Recomendaciones
- Tips
XML External Entity (XXE) :
- Entender cómo funcionan los XXE
- Explotar XXE
- Automatizar un XXE
- ¿Qué es un XXE?
- ¿Qué son las entidades?
- Riesgos de los XXE
- Tipos de XXE
- Revisión de código fuente
- Debug
- Explotación de XSS
- Recomendaciones
- Tips
Server Side Request Forgery (SSRF) :
- Entender cómo funcionan los SSRF
- Explotar SSRF
- Automatizar un SSRF
- ¿Qué es un SSRF?
- Riesgos de los SSRF
- Tipos de SSRF
- Revisión de código fuente
- Debug
- Explotación de SSRF
- Recomendaciones
- Tips
APROBACIÓN DE FUNDAMENTOS DE PENTESTING WEB AVANZADO
Quienes han obtenido la certificación han demostrado comprender la ejecución para campañas de Red Team, identificando aspectos como la planificación y preparación, configuración de entornos de trabajo, tácticas, técnicas y procedimientos para procesos internos e inversión para llevar a cabo tareas complementarias, contribuyendo a la detección, entrenamiento y mitigación de brechas de seguridad desde el punto de vista de un ataque real, simulando una organización de cibercriminales.
