Por primera vez en nuestro país y dentro del marco de un acuerdo firmado con SANS, VASS (Valor Añadido en Soluciones y Servicios) organiza un curso sobre intrusión de aplicaciones y hacking ético.

Web App Penetration Testing & Ethical Hacking será impartido, en español pero con material en inglés, entre los días 20 y 26 de septiembre en las oficinas de la consultora tecnológica.

Esta propuesta está dirigida a profesionales (desde auditores y administradores de redes hasta gerentes de sistemas de información, pasando por profesionales de seguridad informática) y en él se aprenderá el arte de explotar aplicaciones web de forma que puedan encontrarse vulnerabilidades antes de que lo haga un posible atacante.

Mediante ejercicios prácticos se adoctrinará sobre la metodología para la realización de pruebas de intrusión de aplicaciones web dividida en cuatro fases:

- Se inyectará SQL en bases de datos, profundizando en cómo los atacantes extraen datos sensibles.
- Se utilizarán ataques de Cross-Site Scripting para dominar la infraestructura objetivo en un entorno de prácticas único.
- Se explorarán múltiples otras vulnerabilidades típicas de aplicaciones web en detalle, empleando técnicas de descubrimiento efectivas a través de un proceso de análisis estructurado.
- A lo largo del curso se aprenderán todos los detalles asociados a cada ataque y su contexto, de forma que podrán ser aplicados de manera intuitiva en cualquier entorno y aplicación web.

En la primera jornada se ofrecerá una visión general de la web desde la perspectiva del auditor de seguridad, explorando los diferentes servidores y clientes. Durante el segundo día, el asistente podrá profundizar en el reconocimiento y el mapeado, descubriendo la infraestructura dentro de la aplicación, la configuración de SSL y sus debilidades, explorando fuentes de información externas, etc. En la tercera jornada se mostrarán, entre otras cosas, métodos para descubrir varias vulnerabilidades, fugas de información, así como técnicas de recopilación de usuarios o los métodos para el ataque de Web Services. La cuarta jornada estará destinada a profundizar en los métodos para descompilar código de lado cliente, explorarán applets malignos y objetos, etc. El quinto día descubrirán las maneras de convertir los navegadores en clientes zombi con un ejemplo práctico de un escenario de ataque. Por último, en el sexto día, los estudiantes realizarán un acceso a la red y tendrán la oportunidad de completar un test de intrusión en su totalidad. El objetivo de esta competición es que exploren las técnicas, herramientas y metodología aprendidas durante los cinco días anteriores. Podrán usar estas ideas contra aplicaciones web realistas en una intranet.

Número limitado de plazas hasta 25 estudiantes.

Precio: 2.850 euros.

Más información: www.sans.org/info/60388

Contacto VASS: Marlene Sánchez: 91 662 34 04 marlene.sanchez@vass.es y Rafael Ausejo: rafael.ausejo@vass.es