Tema 1: Inyecciones - Introducción al desarrollo seguro de aplicaciones web
- Introducción a OTP (OWASP Testing Project)
- Inyecciones de código SQL
- Concepto de inyecciones y malas prácticas de desarrollo - Tipos de inyecciones * Inyecciones basadas en UNIONES * Inyecciones a ciegas (BLIND) - Inyecciones Booleanas - Inyecciones basadas en Tiempo - Técnicas avanzadas de explotación
- Upload de SHELLCODE y PAYLOAD - Elevación de privilegios
CTF 01: Desarrollo de ejercicio práctico
Tema 2: Manejo de Sesiones y XSS - Gestión y ruptura de autenticación
- Definición del proceso de sesiones - Conceptos de COOKIEs y TOKENs - Secuestro de Sesiones (Session Hijacking) - Identificación de Sesiones mal cerradas - Ataques sobre formularios de acceso * Ataques del tipo SNIPPER * Ataques del tipo BATTERING RAM * CLUSTER BOMB - Identificación de inadecuada gestión de privilegios
Herramienta: BURPSUITE - Cross Site Scripting (XSS)
- Definición de los ataques del lado del cliente
- Introducción al JAVASCRIPT
- Tipos de Cross Site Scripting
- XSS Reflejado - XSS Persistente - XSS DOM
Tema 3: Carga Arbitraria de Archivos - Manejo inadecuado de los APIs y WEB SERVICES
- Concepto de la carga de archivos a través de formularios web - Manipulación de la extensión del archivo - Manipulación del tipo de archivo - Creación de imágenes con BACKDOORS y PAYLOADs
Tema 4: Web Services - Arquitectura de los APIs y WEB SERVICES
- Tipos de APIs y WEB SERVICES
- Inyecciones en APIS
- Manejo de Sesiones y TOKENs
- Vulnerabilidades en JSON WEB TOKEN (JWT)
- Control de Acceso Fallido
|