El aumento de la preocupación y la concienciación de estar preparados ante las amenazas que nos acechan en una sociedad cada vez más dependiente de los sistemas informáticos, nos demanda la necesidad de personas con los conocimientos necesarios para utilizar, defender y gestionar infraestructuras y redes de sistemas. La evolución de las amenazas cibernéticas para los usuarios, compañías y otro tipo de organizaciones ha posicionado a la ciberseguridad entre las prioridades estratégicas de organizaciones internacionales, gobiernos y sociedad en todo su conjunto.

El objetivo de esta formación es que tanto los desarrolladores como pentesters aprendan los fallos típicos de programación, testearlos y corregirlos para no cometerlos, por ello la información la imparten un auditor y un desarrollador. Para ello, se utilizará un framework de pruebas con aprox. 100 vulnerabilidades en las que se testearán todas las posibilidades que hay.

La finalidad es aprender los fallos típicos de programación, testearlos y corregirlos para no volver a cometerlos, por ello la formación la imparte un auditor y un desarrollador. Para ello se utiliza un framework de pruebas con aprox. 100 vulnerabilidades en las que se testean todas las posibilidades que existen.
Los únicos requisitos son:

Nivel medio/avanzado:

• HTML/CSS
• Javascript
• Lenguaje de desarrollo web dinámica.
• Bases de datos y experiència en sistemas UNIX i servidores web Apache/NginX

1. M1 – Inyecciones
   1. HTML Injection
   2. iFrame Injection
   3. LDAP Injection
   4. Mail Header Injection
   5. OS Command Injection
   6. PHP Code Injection
   7. Server-Side Includes (SSI) Injection
   8. SQL Injection
   9. XML/XPath Injection
2. M2 – Autenticaciones  & Gestión de sesiones
   1. CAPTCHA Bypassing
   2. Forgotten Function
   3. Insecure Login Forms
   4. Gestión de Logout
   5. Ataques de Password
   6. Passwords débiles
   7. Portales administrativos
   8. Cookies
   9. Session ID en URL
   10. Strong Sessions
3. M3 – Cross-Site Scripting (XSS)
   1. Cross-Site Scripting
4. M4 – Direct Object References Inseguros
   1. DOR inseguro
5. M5 – Falta de configuración
   1. Cross-Domain Policy File
   2. Cross-Origin Resource Sharing
   3. Cross-Site Tracing
   4. Denial-of-Service
   5. Escalada de privilegios Local
   6. Ataque Man-in-the-Middle
   7. SSL Strip…
   8. Old/Backup & Ficheros no-referenciados
   9. Archivo Robots (Revelación)
6. M6 – Exposición de Datos Sensibles
   1. Base64 Encoding (Secret)
   2. BEAST/CRIME/BREACH SSL Attacks
   3. Clear Text HTTP (Credenciales)
   4. Vulnerabilidad Heartbleed
   5. Host Header Attack (Reset Poisoning)
   6. HTML5 Web Storage (Secret)
   7. Vulnerabilidad POODLE
   8. Protocolo SSL 2.0 Obsoleto
   9. Archivos de Texto (Cuentas)
7. M7 – Falta de Level Access Control funcional
   1. Directory Traversal – Directorios
   2. Directory Traversal – Archivos
   3. Host Header Attack (Cache Poisoning)
   4. Host Header Attack (Reset Poisoning)
   5. Local File Inclusion (SQLiteManager)
   6. Remote & Local File Inclusion (RFI/LFI)
   7. Restrict Device Access
   8. Restrict Folder Access
   9. Server Side Request Forgery (SSRF)
   10. XML External Entity Attacks (XXE)
8. M8 – Cross-Site Request Forgery (CSRF)
   1. Cross-Site Request Forgery
9. M9 – Uso de Componentes Conocidos y Vulnerables
   1. Buffer Overflow (Local)
   2. Buffer Overflow (Remote)
   3. Drupal SQL Injection (Drupageddon)
   4. Vulnerabilidad Heartbleed
   5. Ejecución PHP CGI Remote Code
   6. Funcion PHP Eval
   7. phpMyAdmin BBCode Tag XSS
   8. Vulnerabilidad Shellshock
10. M10 – Redirecciones sin validar & Reenvíos
    1. Redirecciones sin validar & Reenvíos
    2. Otros bugs
    3. ClickJacking
    4. Client-Side Validation
    5. HTTP Parameter Pollution
    6. HTTP Response Splitting
    7. HTTP Verb Tampering

El taller contempla exposición teórica con los principales conceptos donde se harán prueba y ejercicio prácticos. El 80% del taller será practico y un 20% teórico.

• Experto reconocido a nivel internacional en Hacking
• Socio y Director de Operaciones de Andubay, empresa experta en Hacking y Ciberseguridad.
• Más de 17 años de experiencia en el sector. Ha asesorado a las organizaciones más importantes de España y Europa.
• Formador de Ciberseguridad a fuerzas del orden en España y Andorra
• Director Máster de Ciberseguridad de la Universidad de Barcelona.
• Profesor del área de ciberseguridad del Grado Universitario de Seguridad Privada en la Academia de Policia (Mossos d’Esquadra)
• Organizador del congreso de Ciberseguridad y Hacking más longevo de España ‘’No Con Name’’
• Asesor de medios de comunicación en el área ciberseguridad.

Teléfono: (41) – 2747416
e-mail: capacitacion@irade.cl

Inscripciones: Mónica Salazar I.
Sitio Web: www.irade.cl

La anulación de una inscripción deberá ser comunicada a IRADE hasta 2 días hábiles antes del inicio del programa. De otro modo se considerará que la persona asistirá normalmente, procediéndose a la facturación respectiva.