Labs y Trainers‎ > ‎

Raúl Siles - Analizando y explotando aplicaciones web con Samurai-WTF

Sobre el ponente: Raúl Siles

 
Raúl Siles es fundador y analista de seguridad de Taddong. Sus más de 10 años de experiencia ofreciendo servicios y soluciones avanzadas de seguridad en diferentes sectores incluyen diseño y revisión de arquitecturas de seguridad, pruebas de intrusión, investigación de incidentes, análisis forense e investigación de seguridad en nuevas tecnologías, como aplicaciones web, wireless, honeynets, virtualización, dispositivos móviles y VoIP. Raul es uno de los pocos profesionales que han obtenido la certificación GIAC Security Expert (GSE). Es autor e instructor de cursos del SANS, ponente habitual en conferencias de seguridad, autor de libros y artículos de seguridad, y contribuye a proyectos de investigación y open-source. Le encantan los retos de seguridad, y es miembro de organizaciones internacionales, como el Honeynet Project o el Internet Storm Center (ISC). Raul tiene una Ingeniería Superior Informática por la UPM (España) y un master de postgrado en seguridad y comercio electrónico.

Fechas
  • Lunes, 27 de Febrero de 2012
Localización
  • Por determinar
Descripción

¡Aprovecha la oportunidad de asistir al curso oficial de Samurai-WTF ("Assessing and Exploiting Web Applications with Samurai-WTF", de un día de duración) de la mano de uno de los integrantes del proyecto y autor del curso! Conocerás, practicarás y aprenderás las últimas herramientas open-source incluidas en Samurai-WTF, así como las técnicas para realizar pruebas de intrusión (penetration tests) en aplicaciones web.

Tras una revisión rápida de la metodología empleada para realizar pruebas de intrusión en aplicaciones web, se profundizará en el análisis y explotación de múltiples aplicaciones web, sacando provecho de vulnerabilidades y realizando ataques tanto en clientes como en servidores web. Se utilizarán diferentes herramientas de seguridad open-source en cada una de las aplicaciones web objetivo, lo que te permitirá aprender de primera mano las ventajas e inconvenientes de cada herramienta. Una vez se disponga de experiencia utilizando las herramientas de Samurai-WTF, y con las limitaciones de tiempo existentes, el desafío será participar en un reto o evento CtF (Capture the Flag), lo que te permitirá poner en práctica los conocimientos adquiridos y experimentar con tus herramientas favoritas. La experiencia adquirida te ayudará a tener más confianza y los conocimientos necesarios para realizar auditorías de seguridad y pruebas de intrusión en aplicaciones web, ofreciéndote un amplio abanico de herramientas open-source avanzadas y gratuitas.

Audiencia

Desarrolladores, arquitectos y administradores de entornos y aplicaciones web, consultores de seguridad, auditores, y pen-testers.

Requisitos

Para un mejor aprovechamiento del curso se recomienda a los asistentes estar familiarizados con los conceptos básicos de seguridad, vulnerabilidades y ataques en aplicaciones web. El curso se centra en las herramientas de hacking y no en la teoría asociada a los diferentes ataques web.

Objetivos

El objetivo del curso es profundizar de forma práctica en las herramientas de hacking y análisis de seguridad disponibles en Samurai-WTF. Al finalizar los participantes habrán adquirido los conocimientos necesarios para poder llevar acabo el análisis de aplicaciones web utilizando Samurai-WTF y sus herramientas.

Temario

El curso consiste en una sesión eminentemente práctica, con limitada teoría y numerosos ejercicios y demostraciones. A través de varios escenarios basados en diferentes aplicaciones web vulnerables, se profundiza en la utilización y características de las diferentes herramientas de hacking de aplicaciones web disponibles en Samurai-WTF, como por ejemplo nmap, Nikto, extensiones de hacking web de Firefox (ver la "Samurai-WTF Firefox add-ons collection"), ZAP, DirBuster, JBroFuzz, CeWL, Burp Suite, w3af, BeEF, Metasploit, etc.

¿Qué es Samurai Web Testing Framework (Samurai-WTF)? Samurai Web Testing Framework es una distribución Linux auto-arrancable (Live CD/DVD) focalizada en la auditoría de seguridad de aplicaciones web. Hemos agrupado, pre-instalado y configurado las mejores herramientas de hacking y seguridad web para proporcionar el entorno perfecto de análisis de aplicaciones web (www.samurai-wtf.org).