Alcances y Objetivo:
Introducir a los asistentes al proyecto OWASP Top 10, demostrando las vulnerabilidades más comunes en sistemas y aplicaciones Web de manera teórica y práctica.
Destinatarios:
Líderes, Área de Seguridad de la información, personal de sistemas.
Prerequisitos:
Conocimientos en desarrollo de software bajo algún lenguaje, conocimientos mínimos de redes, aspectos básicos de seguridad e la información.
Metodología:
Durante el desarrollo del curso se realizarán prácticas en las cuales los asistentes
podrán interactuar con sistemas especialmente preparados. El instructor/consultor guiará al alumno para que el mismo pueda comprender tanto la teoría como la práctica y fije conocimientos adquiridos. Cada tema tendrá su momento de práctica, discusión y
análisis.
Adicionalmente, se mencionarán casos reales, en base a la experiencia del instructor/consultor a cargo del curso, como así también se motivará a los asistentes en presentar casos de su labor diaria, para discutirlos y sumar valor agregado.
Duración:
12 hs
Contenido:
Introducción al Proyecto OWASP
Introducción al PCI Security Council
Metodologías de Análisis
Protocolo HTTP
- Características
- Métodos
- Mensajería
- Códigos de Estado
Inyección
- Inyección de Comandos a nivel de Sistema Operativo
- Inyección SQL, tipos Cinta Infinita
- Inyección LDAP
- Inyección Xpath y XXE
Pérdida de Autenticación y Gestión de Sesiones
- Cookies
- Ataques a Sesiones
Secuencia de Comandos en Sitios Cruzados
- Reflejado
- Persistente
Referencia Directa a Objetos
- Controles de Acceso a Acciones
- Controles de Acceso a Archivos Físicos y Datos
Configuración Defectuosa de Seguridad
- Atacando a los Webadmins
Exposición de Datos Sensibles
- Certificados y HTTPS
- Ideas de Cifrado y Hashing
Inexistente Control de Acceso a Nivel de Funcionalidades
- Fallas al acceder a URL’s directas
- Sitios en Flash
Falsificación de Petición en Sitios Cruzados
- Funcionamiento, explotación
Uso de Componentes con Vulnerabilidades Conocidas
- Casos comunes, explotación
Redirecciones y Destinos no Validados
- Caso Redirección
- Caso Destino
Extra Track
- Subida Arbitraria de Archivos
- Denegaciones de Servicio
- Historias y casos de estudio reales
Conclusiones Finales
- Discusión Abierta, Problemáticas
- Cierre
Requerimientos Técnicos
Para un correcto dictado del curso, es indispensable contar con una infraestructura
acorde, a saber:
- Proyector con conector VGA tradicional
- Escritorio para apoyo del equipo del docente
- Pizarra y Marcadores para notas adicionales
En caso de que se desee que los alumnos se conecten al equipo del instructor y realizar por cuenta propia las prácticas:
– Un Punto de Acceso WiFi (puede ser privado, sin acceso a Internet) para conectar el equipo del docente y hacer públicas las diferentes máquinas virtuales con los sistemas de pruebas.
– Equipos para los asistentes, con capacidades de conexión a la red previamente mencionada. Asimismo, deben disponer de las siguientes piezas de software:
En versión Live CD o Máquina Virtual:
Kali Linux
http://www.kali.org/downloads/
o Samurai Web Testing Framework
http://sourceforge.net/projects/samurai/files/SamuraiWTF%202.0%20Branch/
