CURSO 3. SEGURIDAD OFENSIVA EN APLICACIONES WEB, WEB SERVICES Y APIS

DESCRIPCIÓN

Este módulo 03 capacita a los profesionales en las técnicas tácticas necesarias para
auditar y vulnerar aplicaciones web modernas, servicios web y APIs REST. Mediante
un enfoque estrictamente práctico, los participantes aprenderán a identificar, explotar
y reportar las brechas de seguridad más críticas que afectan a las organizaciones
hoy en día, basándose en los estándares globales OWASP Top 10 (Web 2021 y API
2023). El curso abarca desde la intercepción avanzada de tráfico con Burp Suite y la
evasión de controles, hasta la explotación de vulnerabilidades complejas de lado del
servidor (SSRF, XXE, SSTI) y la categorización profesional del riesgo

OBJETIVO GENERAL

  • Auditar entornos modernos: Aplicar metodologías ofensivas sobre aplicaciones web tradicionales, microservicios y APIs.
  • Dominar la intercepción de tráfico: Utilizar proxies avanzados (Burp Suite) para analizar, manipular y evadir controles de seguridad en las peticiones.
  • Explotar vulnerabilidades críticas: Ejecutar ataques de inyección, Cross-Site Scripting (XSS) y fallas del lado del servidor (SSRF, SSTI, XXE).
  • Vulnerar controles de acceso: Comprometer mecanismos de autenticación, gestión de sesiones y tokens (JWT).
  • Elaborar reportes profesionales: Clasificar debilidades y calcular el nivel de severidad utilizando estándares internacionales (CWE y CVSS).

TEMARIO

1. Introducción y Metodología OWASP
  • Introducción a la seguridad de Apps y Web APIs.
  • OWASP Top 10-2021.
  • Metodologías de evaluación: DAST vs SAST.
  • Configuración de entorno (Burp Suite/Proxies).
2. Reconocimiento e Inteligencia (OSINT)
  • Búsqueda de información expuesta en Internet y Deep Web.
  • Uso de motores de búsqueda
  • Búsqueda automatizada y a través de APIs.
  • Enumeración de subdominios y activos críticos.
3. Ruptura de Control de Acceso y Sesiones
  • Escalada de privilegios verticales y horizontales.
  • Manejo de sesiones y vulnerabilidades en JWT.
  • Ataques de CSRF (Cross-Site Request Forgery).
4. Cross-Site Scripting (XSS)
  • Identificación y explotación de XSS Reflejado, Persistente y DOM.
  • Robo de cookies de sesión y redirecciones maliciosas.
  • Técnicas de bypass manual de filtros.
5. Fallas Criptográficas y TLS/SSL
  • Generación de HASH y HASH + SALT.
  • Almacenamiento Seguro.
  • Errores comunes en la implementación de TLS/SSL.
6. Inyecciones de Código y Datos
  • Inyecciones SQL.
  • Inyecciones de comandos de sistema operativo.
7. Vulnerabilidades Server-Side (SSRF / XXE / SSTI)
  • Identificación y explotación de SSRF.
  • Obtención de archivos vía XXE.
  • Identificación de plantillas y explotación de SSTI.
8. OWASP Top 10 API Security Risk
  • MAPI1:2023 - Broken Object Level Authorization
  • API2:2023 - Broken Authentication
  • API3:2023 - Broken Object Property Level Authorization
  • API4:2023 - Unrestricted Resource Consumption
  • API5:2023 - Broken Function Level Authorization
  • API6:2023 - Unrestricted Access to Sensitive Business Flows
9. Carga arbitraria de archivos
  • Identificación de vulnerabilidad
  • Carga de webshell
  • Bypass de restricciones
10. Desarrollo y modelo de informes
  • Desarrollo de informes técnicos y ejecutivos.
  • ClasificacCálculo de severidad con métricas CVSS.
  • Ética profesional y metodología de presentación de resultados.ión de debilidades mediante CWE.

DURACIÓN

40 Horas

PROGRAMACIÓN

No hay programaciones disponibles.

REQUISITOS PARA LA CERTIFICACIÓN

  • Aprobar los cursos con una nota mínima de 14.
  • Tener el 75% de asistencia a los cursos.
  • No tener deudas pendientes con la institución.

INVERSIÓN

Curso: S/.1200.00
Curso Libre: S/.1200.00