Ciberseguridad - Pentesting de Aplicaciones Web, APIs y DevSecOps
Link copiado
Descargando...
Curso online diseñado para que los participantes aprendan y desarrollen las principales prácticas y conceptos de búsqueda automatizada y manual de vulnerabilidades en arquitecturas de aplicaciones web modernas, como contenedores, APIs, frameworks basados en JavaScript y Pipelines para DevSecOps.
Todo esto se alinea con los marcos de pruebas de seguridad, como el OWASP Web Security Testing Guide, OWASP Top 10:2021 y OWASP API Security Top 10, los cuales ofrecen una guía completa para evaluar la seguridad de las aplicaciones y servicios web.
Objetivo del curso
Brindar conocimientos de las principales prácticas y conceptos de test de penetración en arquitecturas involucradas en aplicaciones web modernas, con el objetivo de encontrar y prevenir posibles fallos que impliquen riesgos a nivel organizacional.
Objetivos específicos
Entender las amenazas y vulnerabilidades a las que están expuestas las aplicaciones eeb, servicios web, APIs y contenedores.
Comprender el proceso de búsqueda de vulnerabilidades y pruebas de penetración manuales en aplicaciones y servicios web.
Aplicar las metodologías desarrolladas por OWASP para la seguridad de aplicaciones.
Instructor
Juan Oliva - Pentester & Cybersecurity Specialist certificado. Reconocido especialista en Ciberseguridad, Linux y Voz sobre IP, con más de 15 años de experiencia. Proyectos de Ethical Hacking, análisis, explotación de vulnerabilidades, pruebas de ingeniería social, seguridad física, revisión de código, entre otras tareas de seguridad informática.
Contenido del curso
Módulo 1 – Estado actual de las aplicaciones web
El ciclo de vida del desarrollo de software.
Tecnologías involucradas en el desarrollo de software.
(In)Seguridad de aplicaciones web.
Mecanismos de defensa.
Ambientes de aprendizaje.
Módulo 2 – Ciberseguridad en Aplicaciones Web
Introducción a las vulnerabilidades en Aplicaciones Web.
Metodología OWASP.
Revisión de OWASP TOP 10.
OWASP Testing Guide y su alineamiento en un proyecto de Pentesting.
Definición de análisis dinámico y estático.
Informes de un proyecto de Pentesting.
Módulo 3 – Pentesting de Aplicaciones Web
Análisis de vulnerabilidades Web Automatizados.
Proxys Web , BupSuite / ZAP Proxy / Nikto.
Comprensión de reportes de vulnerabilidades Web
Búsqueda y explotación manual de vulnerabilidades: SQL Inyección.
GET y POST; Cross Site scripting XSS, LFI, RFI; vulnerabilidades en el Login; HTML inyección; ataques de fuerza bruta contra formularios de autenticación; acceso inseguro de objetos; ataques de robo de sesión o session hijacking.
Comprendiendo defaceo de una página web.
Módulo 4 – Pentesting de APIs
Revisión de OWASP API TOP 10.
Búsqueda y explotación manual de vulnerabilidades (Control de acceso roto, inyecciones SQL en BD SQLITE y MongoDB, XSS, referencia insegura de objetos, tasas y límites, API Google Hacking).
Búsqueda y explotación manual de vulnerabilidades en Tokens JWT como, debilidad en headers, refresco de tokens, debug y exposición de parámetros e inyecciones en JWT.
Búsqueda y explotación de vulnerabilidades en aplicaciones con Frameworks basados en Javascript y APIs, explotación manual basados en problema de lógica de negocio.
Módulo 5 - Pentesting de Contenedores Docker
Introducción a Docker.
Vectores de ataques en Contenedores.
Análisis de vulnerabilidades automatizados de contenedores.
Pentesting manual de Contenedores Docker.
Módulo 6 - DevOps & DevSecOps
Introducción a devops y Devsecops.
Devsecops para Pentesters.
Implementación de C.I. con Jekings.
Implementación de pipeline SAST con Sonarqube, Retire, entre otros.
Duración: 24 horas, divididas en 6 sesiones de 4 horas cada una.
Información: training@silcom.com.pe | Consulta por el diseño de programas de capacitación personalizados