USD  |   +591 68223703  |   consultas@cegos.com.bo  |  

Seguridad Web: SQL Injection & XSS

Aprende las técnicas más utilizadas por los hackers para vulnerar aplicaciones web y cómo utilizarlas para analizar la seguridad de las aplicaciones empresariales, realizando ataques como SQL Injection y Cross Site Scripting (XSS).
Costo: 70 USD 42 USD 40% off
Duración: 15 Hrs.
Inscribirme    
Más información

El curso de Web Hacking está orientado a toda persona que esté interesada en comprender las técnicas y herramientas de ataque a aplicaciones web que utilizan los hackers actualmente, así como también sacar provecho de las mismas para aumentar la seguridad de las organizaciones.

Durante las clases realizaremos ataques sobre sitios web de práctica, que nos permitirán entrar en contacto directo con las técnicas, herramientas y comportamientos de las aplicaciones web existentes. Realizaremos ataques para saltar procesos de autenticación, inyectar información dentro de bases de datos, capturar datos de usuarios y más.

LABORATORIO: 

Durante las clases realizaremos ataques sobre sitios web de práctica, que nos permitirán entrar en contacto directo con las técnicas, herramientas y comportamientos de las aplicaciones web existentes.

En este curso aprenderás:

  • Detectar qué tecnologías utiliza una aplicación Web.
  • Modificar al vuelo las peticiones y respuestas HTTP.
  • Descubrir vulnerabilidades con Zed Attack Proxy y Vega.
  • Detectar vulnerabilidades XSS, CSRF, SQL Injection y más.
  • Asistir a los desarrolladores en la solución de vulnerabilidades.
  • Modificar cabeceras HTTP para explotar vulnerabilidades.
  • Tomar el control de un navegador web a través de BeEF.
  • Crear archivos remotos en servidores vulnerables.
  • Interpretar mensajes de error para detectar vulnerabilidades.
  • Desarrollar e instalar shells y backdors en PHP para controlar un servidor.
  • Identificar qué cookies pueden ser importantes para la seguridad de una aplicación.
  • Proteger aplicaciones web a través de Web Application Firewalls.
  • Detener ataques utilizando ModSecurity y ModEvasive para Apache.

1. Introducción    

OWASP Top 10   

2. Entorno de Pruebas
3. Descubrimiento de Tecnologías

NMap

Wappalyzer

Análisis de Código Cliente

Hosting Compartido

4. OWASP Zed Attack Proxy

Análisis de Peticiones y Respuestas

Mapeo de la Aplicación

Análisis Automatizado

5. Cross-Site Scripting 

Ejemplo con Mutillidae

Contramedidas

6. Cross-Site Scripting Almacenado

Descripción

Ejemplo en Mutillidae

7. XSS para Denegación de Servicio (XSSDoS)
8. Cross Agent Scripting (XAS)

Ejemplo en Mutillidae

9. Cross-Site Request Forgery (CSRF)

Descripción

Escenario de ejemplo

Contramedidas

Usuarios

Desarrolladores

10. Browser Exploitation Framework (BeEF)

Utilización

Browser Hooking

11. SQL Injection 

Detección

Ejemplo con Mutillidae (Login)

Pruebas con consultas unidas

Creación de archivos con SQL Injection

Inyección de comandos

12. Local/Remote File Inclusion (LFI/RFI)   

Ejemplos con Mutillidae 

13. Shells en PHP

Instalación de BackDoors con PHP

14. Fallas en sistemas de autenticación

Petición directa de páginas

Modificación de Parámetros

Predicción de IDs de sesión

Análisis de código fuente

15. Gestión del caché y de salida de sesión

Atributos de cookies

Secure

HttpOnly

Domain

Path

Expires

Robo de cookies

Modificación de cookies

16. ModSecurity   

Instalación de ModSecurity   

Primeras Pruebas y Correcciones

Interpretación de Reglas

Antes y Después de ModSecurity

Resumen Comparativo

17. Ataques DoS y DDoS

Recursos de Red

Recursos de Hardware

Servidores Distribuidos

Firewalls Dinámicos

Apache ModEvasive

Se requieren conocimientos básicos en:

  • Armado de base de datos o haber realizado el curso Introducción a Base de Datos
  • Armado de redes o haber realizado el curso Redes Nivel Introducción

Una vez finalizado satisfactoriamente el curso, el Instituto CEGOS emite un CERTIFICADO DE APROBACIÓN, el cual contiene:

  • Datos personales del alumno
  • Plan de estudios
  • Horas lectivas invertidas
  • Nota final
  • Rúbrica de autoridades competentes

Depósito bancario: 

  • Entidad bancaria: Banco Union
  • Nombre: CEGOS
  • Nro. De cuenta: 10000019540257
  • Entidad bancaria: Banco Bisa
  • Nombre: CEGOS
  • Nro. De cuenta: 6022104011
  • Entidad bancaria: Banco Nacional de Bolivia
  • Nombre: CEGOS
  • Nro. De cuenta: 1502380148

PayPal:  

  • Correo: cobrosonline@cegos.com.bo
  • Nombre: CEGOS

Posterior al pago envíe el comprobante al correo consultas@cegos.com.bo con los siguientes datos: (Nombre completo, C.I., E-Mail, Nro. de celular, Nombre y número para facturación).


Paga con tarjeta de crédito, PayPal


BENEFICIOS

- Un computador por persona
- Material de apoyo digital
- Docente certificado
- Certificación emitida por CEGOS
- Garantía de aprendizaje


Modalidad de Cursado

Modalidad Presencial

  • Grupos reducidos y prácticos.
  • Un computador por persona.
  • Material de apoyo digital.
  • Acceso a Wifi de alta velocidad.
  • Certificación emitida por CEGOS.
  • Refrigerio.

Modalidad Online - En vivo

  • Grupos reducidos y prácticos
  • Clase en tiempo real por video conferencia.
  • Consultas en vivo.
  • Grabación de las clases ejecutadas.
  • Certificación emitida por CEGOS.
  • Asistencia administrativa personalizada todos los días.

Cursos Relacionados


Nuestros Clientes


ico_curso.png



CEGOS

  Av. Sanchez Lima, Edificio Valentina, Nro.2326 Oficina "B" - Sopocachi.
La Paz - Bolivia
  +591 68223703
  consultas@cegos.com.bo

CEGOS instalaciones