Este curso está disponible en las siguientes fechas
Contexto
Los equipos de Seguridad Ofensiva de las organizaciones requieren comprender de forma cabal y realista los problemas relacionados con las aplicaciones web. El entorno de las aplicaciones web es vital para las organizaciones pues sustentan funciones claves de los negocios, sus usuarios esperan altos niveles de funcionalidad y acceso a la información, y son parte del ecosistema de herramientas más utilizadas por las empresas en todos los rubros.
En nuestro contexto actual, depender de escáneres automáticos y controles empaquetados no es suficiente. Es necesario tener claridad sobre cuáles son los activos de más valor que pueden ser considerados objetivos de ataques, realizar auditorías específicas sobre ellos para detectar sus vulnerabilidades y explotarlas, demostrando así el potencial impacto negativo al negocio que estas pueden producir.
En este curso se busca introducir a los alumnos al uso de técnicas avanzadas de escaneo, sniffing y desarrollo de scripts específicos para enfrentar diferentes retos de seguridad y alta complejidad con el objetivo de sentar las bases de conocimiento para enfrentar procedimientos de enumeración de vulnerabilidades explotables de un host, de una infraestructura de red, de un sistema o un grupo de estos.
El estudiante será capaz de preparar los insumos necesarios para lograr tener éxito en la Fase de Acceso sobre un blanco específico.
Objetivo General
Comprender el funcionamiento de diferentes vulnerabilidades en aplicaciones web, identificar vulnerabilidades en código fuente de aplicaciones web y automatizar la explotación de estas mediante el lenguaje de programación Python, con el fin de que los estudiantes obtengan habilidades para poder buscar vulnerabilidades en entornos reales.
Estas son sugerencias basadas en el nivel de dificultad y área de conocimiento que podrían interesarle
Conocimientos Previos
- Diplomado de Red Team o una certificación afin.
¿Cómo continuar?
Se sugieren otros cursos de especialización en Seguridad Ofensiva:
- Auditoría a la Ciberseguridad
- Desarrollo de Herramientas para pentesting
- Preparación de campañas para Red Team
- Desarrollo de Exploits
- Criptografía Aplicada
- Herramientas y técnicas OSINT para Red Team
- Programación en Python para la Ciberseguridad
- Técnicas de Evasión de Sistemas de Seguridad y Creación de Malware
- Técnicas de Inteligencia de Amenazas para Ciberdefensa
Este curso es flexible para:
Perfil de egreso
El estudiante al finalizar el curso será capaz de:
- Conceptos básicos de cómo funcionan las aplicaciones web
- Desarrollo de script en lenguaje de programación Python
- Aprender a utilizar un proxy web y sus herramientas
- Metodología para buscar vulnerabilidades en código fuente de aplicaciones web:
- Lectura de código fuente
- Debug de código fuente
- Flujo de una aplicación
- Automatización de una vulnerabilidad
Insignia de certificación otorgada por Credly
Equipo Docente
Angel Gangas
Ingeniero en Informática con amplia experiencia como especialista en ciberseguridad ofensiva, se ha desempañado en organizaciones privadas internacionales, actualmente se desempeña en una importante multinacional de ciberseguridad.
Cuenta con 5 certificaciones del Offensive Security: OSEP, OSWE, OSWP, OSCP y OSWP.
Vicente Nagel
Consultor con amplia experiencia como especialista en ciberseguridad ofensiva, se ha desempañado en organizaciones privadas internacionales, actualmente se desempeña en una importante multinacional de ciberseguridad.
Cuenta con 4 certificaciones del Offensive Security: OSCP, OSCE, OSWE, OSED
Estructura de Contenidos
UNIDAD 1: Introducción al pentesting web Avanzado & preparación de ambientes.
Preparación de ambiente, resolver consultas, entender la metodología del curso. Al finalizar el módulo el almuno podrá utilizar la librería request de python para automatizar peticiones web
- Bienvenida, instalación de ambiente, introducción a Burp Suite
- Instalación de dependencias automatización de peticiones y respuestas en python
UNIDAD 2: Entendimiento de explotación de vulnerabilidades.
Automatizar la explotación de un IDOR mediante Python y Automatizar la explotación de un XSS mediante python
- IDOR
- XSS
- Ejercicios de explotación de vulnerabilidades en HTB
UNIDAD 3: Explotación de vulnerabilidades en la web con SQL y XXE
Comprensión de la vulnerabilidad en código fuente, automatización de la vulnerabilidad en python, explotación mediante la ejecución del script creado Comprensión de la vulnerabilidad en código fuente, automatización de la vulnerabilidad en python, explotación mediante la ejecución del script creado.
- Qué es un SQL Injection, identificación en código fuente, explotación y automatización.
- Qué es un XXE, identificación en código fuente, explotación y automatización
- Ejecución de máquina HackTheBox en clase, práctica en de máquinas HackThebox
UNIDAD 4: Técnicas de Explotación en la web LFI/RFI y SSRF
Comprensión de la vulnerabilidad en código fuente, automatización de la vulnerabilidad en python, explotación mediante la ejecución del script creado. Comprensión de la vulnerabilidad en código fuente, automatización de la vulnerabilidad en python, explotación mediante la ejecución del script creado
- Qué es un LFI/RFI, identificación en código fuente, explotación y automatización
- Qué es un SSRF, identificación en código fuente, explotación y automatización
- Ejecución de máquina HackTheBox en clase, práctica en de máquinas HackThebox
UNIDAD 5: Pentesting Web Avanzado, RCE y Exploit Full Chain
Comprensión de la vulnerabilidad en código fuente, automatización de la vulnerabilidad en python, explotación mediante la ejecución del script creado Crear un script que concatene diferentes vulnerabilidades web y obtener un RCE
- Qué es un RCE, identificación en código fuente, explotación y automatización.
- Concatenación de diferentes vulnerabilidades obtener un RCE.
- Ejecución de máquina HackTheBox en clase, práctica en de máquinas HackThebox
CERTIFICADO EN PENTESTING WEB AVANZADO
Quienes han obtenido la certificación han demostrado sus habilidades en el uso técnicas avanzadas de escaneo, de sniffing y de desarrollo de scripts específicos para enfrentar diferentes retos de seguridad y complejidad, con el objetivo de sentar las bases de conocimiento para enfrentar procedimientos de enumeración de vulnerabilidades explotables de un host, de una infraestructura de red, de un sistema o un grupo de estos.
INSCRIPCIÓN
Este curso está disponible en las siguientes fechas:
Opciones de pago al contado
- Un Curso: $250.000 ($350 USD)
- Un Diplomado - conformado por cuatro cursos + inscripción:
- $1.000.000 ($1300 USD)
Opciones de pago flexible
- Un Diplomado - conformado por cuatro cursos + inscripción
- (paga cada curso sólo cuando quieras cursarlo):
- Inscripción + un curso: $400.000 ($450 USD)
- Tres cursos restantes: $250.000 c/u ($350 USD c/u)
¡Atención!
Si estás en proceso de completar un Diplomado mediante pago parcializado se te respetarán los valores de cursos antiguos.
Sólo válido para procesos iniciados antes del 05 de Septiembre del 2022. Por favor contacta a nuestros ejecutivos para más información.
¿Necesitas más información de nuestros diplomados?
¡AGENDA UNA REUNIÓN CON CAPACITACIÓN USACH!
Contáctanos a nuestro Whatsapp o correo electrónico ([email protected]) para resolver todas tus dudas y obtener más información sobre fechas, beneficios o futuros programas.