Este año imparto un curso nuevo sobre herramientas de pentesting (tests de intrusión) de aplicaciones web.
Los tests de intrusión corresponden con auditorías de seguridad proactivas, en las que el auditor analiza la seguridad de un sistema verificando in situ si el sistema es vulnerable. Para ello, después de la firma de los respectivos contratos y autorizaciones, el auditor ataca la infraestructura de red y los servidores con objeto de validar si son vulnerables a ataques concretos conocidos por la comunidad de seguridad. Dentro de las posibilidades para un test de intrusión esta el análisis de vulnerabilidades de sitios web y aplicaciones web.
Este curso responde a una petición recurrente por parte de los alumnos del curso de pentesting de que profundice en los tests de intrusión de aplicaciones web. No va a ser un curso que tenga como requisito haber realizado con anterioridad el curso de pentesting, pero ambos cursos -el de pentesting de teleformación de la FGUMA y este curso de pentesting web- presentan evidentes sinergias.
En este curso nos vamos a centrar en las vulnerabilidades web, en el framework OWASP, y aprenderemos a utilizar varias herramientas de test de intrusión de aplicaciones web; especialmente la potente aplicación OWASP ZAP. Vamos a analizar las principales vulnerabilidades Web, cómo funcionan, y cómo se explotan, por lo tanto. También cómo descubrirlas.
Este curso lo vamos a realizar con Kali; aunque las mecánicas y los pasos pueden ser realizado con cualquier otra distribución instalando el OWASP ZAP.
El temario completo del curso es:
- Tema 1.Vulnerabilidades comunes en aplicaciones web: La ontología OWASP Automated Threat, Inyección SQL, XSS, Inclusión de ficheros locales, Otras vulnerabilidades comunes.
- Tema 2. El framework OWASP: OWASP Software Assurance Maturity Model, OWASP Testing Guide framework, OWASP Code Review Guide, OWASP Development Guide.
- Tema 3. Herramientas para tests de intrusión de aplicaciones Web: OWASP ZAP, Burp Suite, Nikto, sqlmap, wpscan. Otras aplicaciones útiles.
Y la distribución en fechas y horas será:
- Viernes 18 de noviembre de 17:45h a 21:00h: este día daré una introducción teórica a las vulnerabilidades comunes en aplicaciones web y comentaré de forma genérica el uso de OWASP ZAP. Comentaremos las herramientas adicionales que de tiempo a comentar. Este día no os tenéis que llevar vuestro equipo. Impartiré toda la teoría que necesitaréis para hacer la parte de teleformación durante la semana siguiente.
- Viernes 25 de noviembre de 17:45h a 21:00h: Este día todos venimos con un portátil con dos máquinas virtuales: una con Metasploitable y otra con Kali. Ya habréis hecho un primer intento desde la fase de teleformación, por lo que resolveremos dudas y explicaremos las opciones más avanzadas de OWASP. También explicaremos las herramientas que no haya dado tiempo a explicar en la semana anterior.
- Sábado 26 de noviembre de 10:00h a 13:30h: Ese día profundizaremos en el framework OWASP, tomando conocimiento del OWASP Software Assurance Maturity Model, el OWASP Testing Guide framework, el OWASP Code Review Guide, y el OWASP Development Guide.
Va a ser un curso de nivel alto; por lo que presupongo que si lo vas a hacer, es porque ya puedes trabajar en Linux con la consola -aunque no tengas soltura, pero al menos que te aclares con la consola-.
Las sesiones presenciales del curso a las que no se acuda pueden ser sustituidas por actividades sustitutorias para tener acceso al diploma de aprovechamiento.
Importante: este curso presenta fuertes sinergias con el otro curso de pentesting que impartiré vía teleformación a partir de diciembre. Aunque no es requisito para hacer uno haber cursado el otro, se aprovechan más los cursos si se realizan ambos, ya que tratan de aspectos complementarios de los tests de intrusión.
El curso costará 50€ a alumnos de la Universidad de Málaga, y 70€ a alumnos del curso que no pertenezcan a la UMA. La matriculación, por lo tanto, está abierta a gente de todo el mundo, y quizás os interese el curso.
El curso es de plazas limitadas, y es probable que se llene rápido -como ya ocurrió el año pasado-. La matriculación puedes hacerla como muy tarde dos semanas antes del comienzo del curso, siguiendo este enlace: Herramientas para auditoría de seguridad y pentesting de aplicaciones web. Si estás con dudas, te recomiendo que preguntes a otros alumnos sobre los otros cursos que han realizado conmigo (el de herramientas de pentesting, el de metasploit, el de LaTeX, el de C, el de peritajes informáticos, o el de Perl) y que te cuenten cómo les ha ido.
Espero verte en el curso.