Jaime Andres restrepo gomez

Ponente Jaime Andrés Restrepo Gomez

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales.
Consultor Independiente de Seguridad Informática con más de 6 años de experiencias en Ethical Hacking, Pen Testing y Análisis de Vulnerabilidades. Creador de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.
Ha sido Speaker en diferentes eventos de Seguridad (EKO Party en Argentina, iSummit en Ecuador, Campus Party, Encuentro Internacional de Seguridad informática, Congreso de Hacking ético, SegurINFO, entre muchos otros) y miembro del Comité Organizador del Encuentro Internacional de Seguridad informática.

Descripción
En este taller altamente practico descubriremos cuales son las Vulnerabilidades que encontramos mas a menudo en una aplicación web, Como explotar dichas vulnerabilidades y como asegurar nuestras Aplicaciones para evitar que estos dispositivos sean vulnerables a estos Fallos.

Audiencia
Estudiantes o profesionales del campo de la informática con deseos Aumentar sus conocimientos y aprender a evaluar la seguridad de las Aplicaciones web.

Nivel Medio

Objetivo
Obtener el conocimiento necesario para auditar la seguridad de las Aplicaciones web propias o de terceros, además de aprender a proteger y Solucionar estos fallos una vez encontrados.

Duración 8 Horas

Requisitos
Cada participante debe trabajar en su propio computador, una conexión a Internet, las demás herramientas se le entregaran durante el desarrollo de Las actividades.

Nota: Los computadores deberán tener como sistema operativo Distribuciones para auditorias de seguridad Web como Samurai, OWASP Live CD Project o BackTrack.

Contenidos

  • Introducción:
    • Que es el protocolo HTTP
    • Interactuando con HTTP
    • Manejo de un Proxy Local
    • Enumeración manual y automática de métodos

  • Identificación y exploración del servidor Web
    • Análisis pasivo aplicación web
    • Análisis activo a la aplicación web (Dirbuster, nikto, w3af, FOCA, etc.)
    • Errores comunes de configuración y desarrollo

  • Vulnerabilidades en aplicaciones Web
    • Ejecución de comandos en el sistema
    • Lectura de archivos Locales (LFR)
    • Inclusión de archivos locales (LFI)
    • Escalada de directorios
    • Inclusión de archivos Remotos (RFI)
    • Subida insegura de archivos
    • Full Path Disclosure

  • SQL Injection
    • Detección manual de SQL Injection
    • Detección automática de SQL Injection
    • Saltando logins
    • Identificación de columnas
    • Unión de consultas
    • Ejecución de comandos por SQL (xp_cmdshell)
    • SQL Ninja y Havij en acción
    • Detección manual de blind SQL injections
    • Utilizando sqlmap para explotar blind SQL injections

  • XSS
    • Detectando XSS a mano
    • Detectando XSS automáticamente
    • Los XSS Persistente
    • BeEf XSS Exploitation Framework
    • XSS en HTTP Headers

  • Contramedidas

Cupos: Consultar En El Cronograma

<<< Volver a cursos Ir a Cronograma >>>