Curso de Web hacking avanzado

Curso de Web hacking avanzado

Nuestro curso avanzado de 3 días dedicado al hacking de aplicaciones web

Este curso de ritmo trepidante ofrece conocimientos avanzados en web hacking. El equipo formador ha creado un hack lab y recreado vulnerabilidades de seguridad basadas en tests de penetración reales realizados por bug bounties.

El curso de AWH ha sido excelente, con un feedback 100% positivo. Hemos podido apreciar todo el esfuerzo dedicado a los labs, son muy robustos y reflejan el mundo real, hemos alucinado. Los formadores son geniales, saben mucho y han sabido involucrarnos

Participante en Black Hat USA

Me gustó mucho la formación. Los contenidos avanzados cubrieron muchos escenarios que no son fáciles de encontrar. Me saco el sombrero por el esfuerzo dedicado en construir los labs para las prácticas

Participante en Black Hat USA

  • Descripción
  • Detalles
  • Requisitos y público objetivo
  • Descargar programa

Como el curso avanzado en hacking de infraestructura, éste trata sobre las técnicas de hacking para comprometer aplicaciones web, APIs y endpoints asociados. Este curso se centra en áreas específicas de app-sec, la identificación avanzada de vulnerabilidades y las técnicas de explotación (especialmente, fallos a nivel de servidor). El curso permite a los participantes practicar técnicas de hacking que afectan productos reales y se han llevado a cabo por programas de bug bounty reales. Las vulnerabilidades seleccionadas para este curso a menudo pasan desapercibidas por los escáneres modernos o las técnicas de explotación no son muy conocidas. Los participantes podrán seguir practicando con nuestro Hacklab con un acceso de 30 días adicionales después del curso.

Objetivos:

  • Bugs actuales de JWT, SAML, oauth
  • Lógica de negocio y fallos criptográficos
  • RCE vía serialización de Java, Object, OGNL e inyección de template
  • Explotación sobre canales DNS
  • Temas avanzados en OPEWSRF, HPP, XXE y SQLi
  • Cadena de ataque y ejemplos reales

Este curso de ritmo trepidante ofrece a los participantes conocimientos avanzados en web hacking. El equipo ha creado un hack lab y recreado vulnerabilidades de seguridad basadas en tests de penetración reales realizados y bug bounties reales.

Authentication Bypass

Token Hijacking attacks Logical Bypass / Boundary Conditions

SAML / OAUTH 2.0 / AUTH-0 / JWT attacks

JWT Token Brute-Force attacks SAML Authentication and Authorization Bypass XXE through SAML Advanced XXE Exploitation over OOB channels

Password reset attacks

Cookie Swap Host Header Validation Bypass Case study of popular password reset fails.

Breaking Crypto

Known Plaintext Attack (Faulty Password Reset) Path Traversal using Padding Oracle Hash length extension attacks

SQL Injection

2nd order injection Out-of-Band exploitation SQLi through crypto OS code exec via powershell Advanced topics in SQli.

Remote Code Execution (RCE)

Java Serialisation Attack Node.js RCE PHP object injection Ruby/ERB template injection Exploiting code injection over OOB channel

Business logic flaws / Authorization flaws

Mass Assignment Invite/Promo Code Bypass Replay Attack API Authorisation Bypass

Server Side Request Forgery (SSRF)

SSL / TLS Bugs Deserialisation Bugs

Unrestricted upload

Malicious File Extensions Circumventing File validation checks

Miscellaneous topics

HTTP Parameter Pollution (HPP) XXE in file parsing A Collection of weird and wonderful XSS and CSRF attacks.

Attack chaining

Combining Client-side and or Server-side attacks to steal internal secrets

Participantes y requisitos

Cualquiera que trabajo con o contra la seguridad de aplicaciones web modernos se beneficiará de este curso.

No es un curso para principiantes. Los participantes deben tener un conocimiento previo de los problemas top 10 OWASP para sacer el máximo provecho de esta formación. Además, el curso no cubre todos los temas AppSec y se centra solo en la identificación y técnicas de explotación avanzadas de las vulnerabilidades mencionadas.

Descargar

Programa

Cursos para ampliar tus competencias en ciberseguridad

Formación de laboratorio, diseñada por formadores de las Black Hat

Nuestros cursos de hacking son perfectos para aquellos que se preparan para las certificaciones CREST CCT (ICE), CREST CCT (ACE), CHECK (CTL), TIGER SST o similares, así como para aquellos que realizan tests de penetración en infraestructura o aplicaciones web en su trabajo y desean profundizar en sus competencias.

Nuestras acreditaciones

Crest
Cyber essentials
Check penetration testing
ISO27001
Certified Ethical Hacker
Certified CISO
CISSP
Certified CISO
Offensive Security OSCE
Offensive Security OSCP