Cybsec Security Systems
Página PrincipalSobre NosotrosServiciosCapacitaciónNoticiasArtículosInvestigaciónContáctenos Contáctenos via Email
 
 
Taller de Seguridad en Aplicaciones Web

Objetivos del Seminario:

  • Presentar a los asistentes los aspectos de seguridad de las aplicaciones Web.
  • Señalar las debilidades de las aplicaciones Web y los fundamentos de una programación segura para la defensa en ataques internos y externos.
  • Señalar las debilidades de los servidores Web y los fundamentos de una configuración segura para defenderlos de ataques externos e internos.
  • Aprender las técnicas utilizadas por los potenciales intrusos y cómo protegerse de los mismos.
  • Emplear las herramientas que son utilizadas en ataques y auditorías de aplicaciones Web.

Diseñado para:

  • Jefes, Administradores, Oficiales y Responsables de Seguridad Informática, Auditores de Aplicaciones Web, Administradores de Aplicaciones Web y/o Servidores Web, y Desarrolladores de Aplicaciones Web.

Temario:

1. Introducción al Protocolo HTTP

  • Arquitectura Web.
  • Cabecera HTTP.
  • Métodos HTTP.
  • Autenticación HTTP.
  • Protocolo HTTPS (HTTP Sobre SSL).
  • Cookies.
  • WebDAV.
  • WebServices.

2. Configuración de Servidores Web: Apache, Microsoft Internet Information Server y Tomcat application Server

  • Banners.
  • Directory Indexing.
  • Autenticación HTTP.
  • Restricción de Métodos HTTP.
  • Implementación de SSL (HTTPS).

3. Herramientas de Penetration Testing Web.

  • Proxy local: Paros, Burp.
  • Scanners de Vulnerabilidades: Nikto, w3af.
  • Descubrimiento: Dirbuster.
  • HTTP Brute Forcing:brutus.
  • Web Services:WsChess.

4. Errores y Recomendaciones para la Codificación y Configuración

  • Comentarios y Versioning en el Código Fuente.
  • Inclusión de Archivos (Archivos .inc).
  • Archivos de Back-Up (.bak, .old, .tgz, .zip, etc).
  • Archivos "MDB".
  • Server Side Includes.
  • Campos Ocultos: Hidden HTML Fields.
  • Path Disclosure y Enumeración de Directorios.
  • Tratamiento de Exepciones y Mensajes de Error.
  • Seguridad del Backend.

5. Técnicas de Intrusión

  • Ingeniería Reversa de Java Applets y Flash.
  • Archivos por Parámetros.
  • Null Bytes.
  • Obteniendo Control del Servidor (cmdasp, phpshell, SQL Query).
  • Cross Site Scripting (XSS) y su uso en Phishing.
  • Escalación de Privilegios y Manejo de Sesión: Cookies.
  • OS Commanding.
  • Path Traversal.
  • SQL Injection:
  • Enumeración de tablas y campos.
  • Ejecución de Queries.
  • Ejecución de Stored Procedures.
  • Técnicas avanzadas: Blind SQL Injection, Generación de Archivos.
  • Otros ataques
  • Soluciones.
  • Validación de Input (Cliente vs. Servidor).
  • Web Services.

6. Contramedidas

  • Hardening del Servidor Web:
  • IISLOCKDOWN para IIS (URL SCAN).
  • Mod_Security para Apache.
  • Hardening de PHP:
  • Register Globals.
  • Safe Mode.
  • Include Path.
  • Open Base Dir.
  • Hardening del Application Server.
  • Hardening ASP y .NET.

7. Web Application Firewall (WAF)

  • Necesidad de un WAF.
  • Modos de Operación.
  • Funcionalidades de un WAF.
  • Manejo de SSL.
  • Capacidades de Respuesta.
  • Capacidades de Filtrado.

Inscripción

Contáctese con Maria Jose Fantoni (mjfantoni@cybsec.com ) Tel/Fax: (+54-11) 4371-4444.
  ©2009 Cybsec S.A. Todos los derechos reservados
Sobre Nosotros | Gestión Estratégica | Gestión Operativa | Gestión de Control | Auditorías PCI | Capacitación | Noticias | Artículos | Investigación | Contáctenos Diseño y Desarrollo Alfadesign
©2009 Cybsec S.A. Todos los derechos reservados