OWASP Latam Tour 13 - Bogota, Colombia (Training Pentest)

Bogota
miércoles, 20 de marzo de 2013
OWASP Latam Tour 13 - Bogota, Colombia (Training Pentest)
miércoles, 20 de marzo de 2013 09:00 a.m. - 05:00 p.m. (Colombia, Peru, Ecuador Time)

Universidad Javeriana
Edificio Fernando Barón Sala 2-309
Bogota
Colombia

Taller Practico De Seguridad Web

Ponente: Jaime Andrés Restrepo Gomez

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales.
Consultor Independiente de Seguridad Informática con más de 6 años de experiencias en Ethical Hacking, Pen Testing y Análisis de Vulnerabilidades. Creador de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Ha sido Speaker en diferentes eventos de Seguridad (EKO Party en Argentina, iSummit en Ecuador, Campus Party, Encuentro Internacional de Seguridad informática, Congreso de Hacking ético, SegurINFO, entre muchos otros) y miembro del Comité Organizador del Encuentro Internacional de Seguridad informática.

Descripción

En este taller altamente practico descubriremos cuales son las Vulnerabilidades que encontramos mas a menudo en una aplicación web, Como explotar dichas vulnerabilidades y como asegurar nuestras Aplicaciones para evitar que estos dispositivos sean vulnerables a estos Fallos.

Audiencia

Estudiantes o profesionales del campo de la informática con deseos Aumentar sus conocimientos y aprender a evaluar la seguridad de las Aplicaciones web.

Nivel Medio

Objetivo

Obtener el conocimiento necesario para auditar la seguridad de las Aplicaciones web propias o de terceros, además de aprender a proteger y Solucionar estos fallos una vez encontrados.

Duración 8 Horas

Requisitos

Cada participante debe trabajar en su propio computador, una conexión a Internet, las demás herramientas se le entregaran durante el desarrollo de Las actividades. 

Nota: Los computadores deberán tener como sistema operativo Distribuciones para auditorias de seguridad Web como Samurai, OWASP Live CD Project o BackTrack.

Contenidos
Introducción:
Que es el protocolo HTTP
Interactuando con HTTP
Manejo de un Proxy Local
Enumeración manual y automática de métodos

Identificación y exploración del servidor Web
Análisis pasivo aplicación web
Análisis activo a la aplicación web (Dirbuster, nikto, w3af, FOCA, etc.)
Errores comunes de configuración y desarrollo

Vulnerabilidades en aplicaciones Web
Ejecución de comandos en el sistema
Lectura de archivos Locales (LFR)
Inclusión de archivos locales (LFI)
Escalada de directorios
Inclusión de archivos Remotos (RFI)
Subida insegura de archivos
Full Path Disclosure

SQL Injection
Detección manual de SQL Injection
Detección automática de SQL Injection
Saltando logins
Identificación de columnas
Unión de consultas
Ejecución de comandos por SQL (xp_cmdshell)
SQL Ninja y Havij en acción
Detección manual de blind SQL injections
Utilizando sqlmap para explotar blind SQL injections

XSS
Detectando XSS a mano
Detectando XSS automáticamente
Los XSS Persistente
BeEf XSS Exploitation Framework
XSS en HTTP Headers

Contramedidas

Prerequisitos:

El participante deberá llevar un computador con al menos 4 GB en RAM, 100GB en disco libre para máquinas virtuales y preinstalado VMWare Player.


Duración: 8 horas

Precio: U$S300 No miembros / U$S250 Miembros OWASP. Existen tambien descuentos para grupos.


 

Información de contacto