Planificación de curso / SAW

Python para Pentester (24h/a)

(c) 2018 EMACS Computación CA Todos los derechos reservados

Objetivo Aplicar la seguridad de aplicaciones Web a partir del uso de las herramientas y técnicas de
general hacking de aplicaciones Web y su plataforma asociada las cuales abarcan desde técnicas de
evasión, detección de ataques en sistema de autenticación y autorización hasta aplicar
contramedidas de seguridad para reducir las vulnerabilidades.
Descripción Este curso aporta las mejores prácticas de Seguridad de Aplicaciones Web. Abarca el estudio de
las fallas en los sistemas de protección de los servidores web más frecuentemente utilizados
(Apache, IIS, etc.), y en los lenguajes de programación en los que son escritas las aplicaciones
que son ejecutadas por estos servidores (Php o Asp.net). Además, aporta la explicación de los
problemas se generan por malos usos por parte de los programadores.
Objetivos • Realizar una introducción al haking de aplicaciones web
Específicos • Describir el proceso obtención de información
• Explicar las técnicas de ataques y contramedidas en servidores y plataformas Web (IIS y
Apache, Php y ASP.net)
• Manejar los mecanismos de autenticación web a través de la explicación de ataques y
las contramedidas para los (CAPTCHA)
• Explicar los controles de acceso de cualquier aplicación web a través de un análisis
avanzado de sesiones, el secuestro, y las técnicas de fijación.
• Analizar la entrada inesperada de la aplicación en ataques de inyección SQL y Cross-Site
Scripting (XSS)
• Descubrir y explotar vulnerabilidades en XML web service.
• Realizar ataques de gestión de aplicaciones Web más comunes contra la administración
remota de servidores.
• Utilizar ataques de complementos de clientes Web
Requisitos Manejar sistema operativo linux o windows y manejo básico de programación web.

CONTENIDO DEL CURSO

Objetivos Sub-Objetivos Evaluación Hrs
1.Introducción • Explicación de conceptos generales Actividad 1. 2
• Descripción de extensiones Explorer: Obtener una visión general
TamperIE, IEWatch, IE Headers, de las herramientas y
• Descripcion de extensiones Firefox: técnicas de hacking de
LiveHttpHeaders, TamperData, Modify aplicaciones Web.
Headers
• Utilizar los HTTP Proxies: Paros, OWASP
webscarab, ProxMon, Fiddler, Burp Intruder,
Goodle Ratproxy,
• Automatizar Web Crawling
• Utilizar los comandos: Curl, netcat
2. Obtener • Explicar el HTTP Fingerprint Actividad 2. 2
información • Utilizar las herramientas httprint, shodan Explicar el proceso de
• Realizar la Inspección manual preludio para atacar a una
aplicación web y su
infraestructura asociada.

Av Universidad Edif Centro Parque Carabobo Torre A Piso 9 Ofic 908 Ccs- Vzla
Teléfonos: 0416-8210690 wwwemacscomve emacscomputacion@gmailcom
 Planificación de curso / SAW
Python para Pentester (24h/a)
(c) 2018 EMACS Computación CA Todos los derechos reservados

CONTENIDO DEL CURSO

Objetivos Sub-Objetivos Evaluación Hrs
3. Servidores y • Evaluar las claves por defecto Apache Tomcat Actividad 3. 2
plataformas Web • Aplicar la ejecución de codigo Pear/Php XML- Describir los ataques,
Rpc técnicas de evasión de
• Manejar contramedidas Pear/Php XML-Rpc detección y contramedidas
• Realizar la falsificación de nombres en IIS para las plataformas web
Server más populares, como IIS,
• Evadiendo detección Apache, PHP, y ASP.NET.
• Aplicar el fortalecimiento de Apache
• Explicar las mejores prácticas en PHP
4. Esquemas de • Describir las amenazas de Usuario/Password Actividad 4. 4
Autenticación Web • Realizar la enumeración de usuarios Manejar los ataques y las
• Explicar el Password Guessing contramedidas para los
• Realizar Ataques de auntenticacion en mecanismos de
Formularios autenticación web común,
• Describir Bypassing authentication entre ellos basada en
• Explicar Cross Site Request Forgery (CSRF) contraseña, multifactorial
• Utilizar ataques de registracion de usuarios (por ejemplo, de CAPTCHA),
y servicios de autenticación
en línea como Windows Live
ID.
5. Controles de • Explicar el Crawling ACLs Actividad 5. 4
acceso de • Realizar el análisis de Tokens de sesiones Explicar los controles de
aplicaciones Web • Utilizar directorios trasverles (dot-dot-slash) acceso de cualquier
• Utilizar recursos "Ocultos" aplicación web a través de un
• Realizar predicción Manual de datos del análisis avanzado de
POST sesiones, el secuestro, y las
• Realizar predicción Manual de Encabezados técnicas de fijación.
HTTP
• Realizar predicción manual de los Cookies
• Explicar escala de Privilegios Verticales
• Explicar las mejores practicas de autorización
6. Entradas por • Ubicando los vectores de ataques Actividad 6. 4
ataques de • Ataques comunes de inyección A partir de cross-site scripting
inyección • Manipular comportamiento de aplicación para la inyección de SQL, la
• XPath injection esencia de la mayoría de los
• LDAP Injection ataques web es la entrada
• Variables globales en PHP inesperada de la aplicación.
7. Ataques en XML • Explicar funcionamiento deSOAP sobre HTTP Actividad 7. 4
web service • Utlizar herramientas Haking en SOAP Descubrir y explotar a través
• Explicar Directory Service: UDDI y Disco de técnicas incluyendo la
• Realizar ataques de Inyeccion divulgación WSDL, inyección
• Explicar la seguridad básica en Web Service de entrada, inyección entidad
externa, y la inyección XPath

Av Universidad Edif Centro Parque Carabobo Torre A Piso 9 Ofic 908 Ccs- Vzla
Teléfonos: 0416-8210690 wwwemacscomve emacscomputacion@gmailcom
 Planificación de curso / SAW
Python para Pentester (24h/a)
(c) 2018 EMACS Computación CA Todos los derechos reservados

CONTENIDO DEL CURSO

Objetivos Sub-Objetivos Evaluación Hrs
vulnerabilidades de servicios
web.
8. Atacar • Describir la administración remota de Actividad 8. 4
Administración de servidores Revelar ataques de gestión
Aplicaciones Web • Explicar la administración de Contenidos Web de aplicaciones Web más
(CMS) comunes contra la
• Describir contramedidas WebDAV Authoring administración remota de
• Enumerar Errores de configuración servidores, gestión de
• Describir extensiones de servidor de Web contenidos web / autoría,
innecesarios errores de configuración de
• Obtener Información de fuga configuraciones administrador, y los errores
erróneas orientados a
• Realizar la gestión de configuración errónea desarrolladores.
Estado
9. Hacker clientes • Enumerar los tipos de Exploits Actividad 9. 4
Web • Describir Las vulnerabilidades de ejecución de Hackear Clientes Web.
cliente Web
• Aplicar Contramedidas JSON Hijacking
• Describir Vulnerabilidades Java
• Explicar los Ataques complemento de cliente
• Explicar los tipos de Trampas / TRICKERY
• Describir contramedidas generales
Cierre Encuestas 24
Certificados

Av Universidad Edif Centro Parque Carabobo Torre A Piso 9 Ofic 908 Ccs- Vzla
Teléfonos: 0416-8210690 wwwemacscomve emacscomputacion@gmailcom
 Planificación de curso / SAW
Python para Pentester (24h/a)
(c) 2018 EMACS Computación CA Todos los derechos reservados

Día 1 Día 2 Día 3

Sesión 1 Sesión 3 Sesión 7

Apertura de Curso 8. Atacar Administración de

5. Controles de acceso de aplicaciones Aplicaciones Web
1.Introducción Web
9. Hacker clientes Web
2. Obtener información

Sesión 2 Sesión 4 Sesión 8

6. Entradas por ataques de inyección Desafío Practico

3. Servidores y plataformas
Web 7. Ataques en XML web service Cierre de Curso
4. Esquemas de Autenticación
Web

Av Universidad Edif Centro Parque Carabobo Torre A Piso 9 Ofic 908 Ccs- Vzla
Teléfonos: 0416-8210690 wwwemacscomve emacscomputacion@gmailcom