Taller de Seguridad en Aplicaciones Web
Curso
En Buenos Aires
Descripción
-
Tipología
Taller
-
Lugar
Buenos aires
-
Horas lectivas
8h
Presentar a los asistentes los aspectos de seguridad de las aplicaciones Web. Señalar las debilidades de las aplicaciones Web y los fundamentos de una programación segura para la defensa en ataques internos y externos. Señalar las debilidades de los servidores Web y los fundamentos de una configuración segura para defenderlos de ataques externos e internos. Aprender las técnicas utilizadas por los potenciales intrusos y cómo protegerse de los mismos. Emplear las herramientas que son utilizadas en ataques y auditorías de aplicaciones Web. Dirigido a: Jefes, Administradores, Oficiales y Responsables de Seguridad Informática, Auditores de Aplicaciones Web, Administradores de Aplicaciones Web y/o Servidores Web, y Desarrolladores de Aplicaciones Web
Sedes y fechas disponibles
Ubicación
inicio
inicio
Opiniones
Plan de estudios
Arquitectura Web.
Cabecera HTTP.
Métodos HTTP.
Autenticación HTTP.
Protocolo HTTPS (HTTP Sobre SSL).
Cookies.
WebDAV.
WebServices.
2. Configuración de Servidores Web: Apache, Microsoft Internet Information Server y Tomcat application Server
Banners.
Directory Indexing.
Autenticación HTTP.
Restricción de Métodos HTTP.
Implementación de SSL (HTTPS).
3. Herramientas de Penetration Testing Web.
Proxy local: Paros, Burp.
Scanners de Vulnerabilidades: Nikto, w3af.
Descubrimiento: Dirbuster.
HTTP Brute Forcing:brutus.
Web Services:WsChess.
4. Errores y Recomendaciones para la Codificación y Configuración
Comentarios y Versioning en el Código Fuente.
Inclusión de Archivos (Archivos .inc).
Archivos de Back-Up (.bak, .old, .tgz, .zip, etc).
Archivos "MDB".
Server Side Includes.
Campos Ocultos: Hidden HTML Fields.
Path Disclosure y Enumeración de Directorios.
Tratamiento de Exepciones y Mensajes de Error.
Seguridad del Backend.
5. Técnicas de Intrusión
Ingeniería Reversa de Java Applets y Flash.
Archivos por Parámetros.
Null Bytes.
Obteniendo Control del Servidor (cmdasp, phpshell, SQL Query).
Cross Site Scripting (XSS) y su uso en Phishing.
Escalación de Privilegios y Manejo de Sesión: Cookies.
OS Commanding.
Path Traversal.
SQL Injection:
Enumeración de tablas y campos.
Ejecución de Queries.
Ejecución de Stored Procedures.
Técnicas avanzadas: Blind SQL Injection, Generación de Archivos.
Otros ataques
Soluciones.
Validación de Input (Cliente vs. Servidor).
Web Services.
6. Contramedidas
Hardening del Servidor Web:
IISLOCKDOWN para IIS (URL SCAN).
Mod_Security para Apache.
Hardening de PHP:
Register Globals.
Safe Mode.
Include Path.
Open Base Dir.
Hardening del Application Server.
Hardening ASP y .NET.
7. Web Application Firewall (WAF)
Necesidad de un WAF.
Modos de Operación.
Funcionalidades de un WAF.
Manejo de SSL.
Capacidades de Respuesta.
Capacidades de Filtrado.
Taller de Seguridad en Aplicaciones Web