DESCRIPCIÓN:
El objetivo es proveer a los asistentes de los conocimientos y técnicas necesarias para poder analizar la seguridad de las aplicaciones Web y demostrar los riesgos reales existentes por medio de la explotación de las vulnerabilidades.

Comprender de manera teórica las vulnerabilidades para luego poder explotar las mismas de manera práctica en el laboratorio.

Aplicar en un entorno controlado y con metodología hands-on las herramientas utilizadas por los profesionales en el área tales como w3af, burp, sqlmap y sqlninja; y aprender sobre sus funcionalidades principales.

CONOCIMIENTOS NECESARIOS:
El training está diseñado para administradores, consultores, oficiales y responsables de seguridad informática; desarrolladores de aplicaciones Web, expertos en Quality Assurance y administradores de aplicaciones Web. Para todos ellos, se sugiere poseer los siguientes conocimientos previos:

* Conceptos básicos sobre sistemas operativos y seguridad informática, tales como procesos, memoria, autenticación, autorización, encripción, vulnerabilidades y exploits.
* Conceptos básicos sobre el funcionamiento del protocolo HTTP y la Web en general.

TEMARIO:

1. Black box testing * Vulnerabilidades que pueden ser detectadas * Vulnerabilidades que no pueden ser detectadas

2. Errores comunes de configuración e implementación * Comentarios HTML * Archivos de Backup * Bases de datos locales * Enumeración de directorios * Directory Indexing

3. Vulnerabilidades en Aplicaciones Web * Mensajes de error y excepciones * Path Disclosure * Reverse engineering de Java applets y Flash movies * OS Commanding o Reverse shell interactiva * Local file read o Fuerza bruta de contenido de directorios * Local file inclusions o Ejecución de comandos arbitrarios * Path Traversal and Null Bytes * Remote file inclusions o Reverse shell interactive o Utilización de metasploit * HTTP Response Splitting * Uncommon attack vectors * LDAP Injection * PHP preg_replace vulnerabilities * SQL Injection y Blind SQL Injection o Lectura de información de la base de datos o Modificación de la información de la base de datos o Creación de nuevas tablas o Creación de archivos o Ejecución de comandos de sistema operativo * Cross Site Scripting (XSS) * Cross Site Request Forgeries (CSRF) o Ejecución de comandos arbitrarios en el servidor a partir de Cross Site Scripting y Cross Site Request Forgeries.

4. Vulnerabilidades en la lógica de la aplicación 5. Controles de autorización en objetos 6. Vulnerabilidades en aplicaciones Web2.0

MATERIAL DE APOYO:
Cada asistente al training recibirá el siguiente material de apoyo:
* Una carpeta con los contenidos expuestos durante el training
* Un Live CD con las herramientas utilizadas durante el training
* Imagen de VMware con las aplicaciones Web vulnerables