Curso Ciberseguridad: Mitigación del OWASP Top 10
En Conocimiento Libre impulsamos el desarrollo de proyectos de innovación y la adopción de la Industria 4.0 para fortalecer la competitividad y promover el desarrollo sostenible del ecosistema regional, lo logramos a través de servicios de transformación digital y el fomento de competencias laborales dirigidos a los actores de la triple hélice (Empresas, Gobierno y Universidades).
Conocimiento Libre es un Partner oficial de Capacitación LPI ATP (Approved Training Partner) reconocido como Platinum, el máximo nivel alcanzable.
Acerca del Curso:
El Curso Ciberseguridad Mitigación del OWASP Top 10 está diseñado para profesionales de TI que buscan profundizar en la identificación y mitigación de vulnerabilidades web más críticas.
A través de un enfoque práctico, en el Curso Ciberseguridad Mitigación del OWASP Top 10 los participantes aprenderán a analizar, explotar y corregir fallas de seguridad en apli caciones web, utilizando herramientas avanzadas.
Objetivos del Curso:
- Instalación y configuración del sistema operativo Kali Linux.
- Comprensión del OWASP Top 10, su clasificación y cambios recientes.
- Uso de herramientas como BurpSuite y SQLMap para análisis de seguridad.
- Explotación y mitigación de vulnerabilidades de control de acceso.
- Análisis de fallas criptográficas y técnicas para prevenir filtraciones de datos.
- Identificación y explotación de inyecciones SQL, XSS y ejecución de comandos.
- Evaluación de diseño inseguro y configuraciones deficientes en sistemas.
- Búsqueda y explotación de componentes vulnerables y desactualizados.
- Simulación de ataques de robo de credenciales, cookies y autenticación débil.
- Análisis de falsificación de solicitudes del lado del servidor (SSRF) y su mitigación.
Temario
UNIDAD 1: Instalación del entorno de trabajo
1.1 Instalación de entorno de virtualización.
1.2 Instalación del entorno de virtuales para pruebas:
1.2.1 Metasploitable
1.2.2 Juicy Shop
1.2.3 Kali Linux
1.2.4 SQLMap
1.2.5 Burpsuite
UNIDAD 2: Conceptos fundamentales
2.1 ¿Qué es OWASP Top 10? Y los cambios de 2017 al 2021
2.2 CVSS – CWE – CVE
2.3 ¿Cómo se elije y clasifica el OWASP Top 10?
2.4 Pruebas de caja negra, blanca y gris
2.5 Herramientas DAST vs SAST (ejemplos de herramientas)
2.6 Escalamiento de privilegio
UNIDAD 3: Breve introducción al BurpSuite
3.1 Herramientas.
3.2 Configuración de Firefox.
3.3 Escaneos
3.4 Uso de proxies.
3.5 Uso de repeater.
UNIDAD 4: A01:2021-Pérdida de Control de Acceso
4.1 Descripción.
4.2 Vulnerabilidades.
4.3 Prevención.
4.4 Ejercicios: Explotando vulnerabilidades en Juicy Shop.
UNIDAD 5: A02:2021-Fallas Criptográficas
5.1 Descripción.
5.2 Vulnerabilidades.
5.3 Prevención
5.4 Ejercicios:
5.4.1 Obtener credenciales con WireShark.
5.4.2 Obtener credenciales con Juicy Shop.
UNIDAD 6: A03:2021-Inyección
6.1 Descripción.
6.2 Vulnerabilidades.
6.3 Prevención.
6.4 Ejercicios:
6.4.1 Ejemplo real de obtención de datos con SQLMap.
6.4.2 Ejemplo de inyección SQL, XSS y Command Execution.
UNIDAD 7: A04:2021-Diseño Inseguro
7.1 Descripción.
7.2 Vulnerabilidades.
7.3 Prevención.
7.4 Ejemplos.
7.5 Ejercicios:
7.5.1 Explotación por falta de validaciones en formularios con archivos de subida.
UNIDAD 8: A05:2021 - Configuración de Seguridad Incorrecta
8.1 Descripción.
8.2 Vulnerabilidades.
8.3 Prevención.
8.4 Ejercicios:
8.4.1 Búsqueda y explotación de configuraciones inseguras en servidores web. 8.4.2 Busqueda de vulnerabilidades con google.
UNIDAD 9: A06:2021 - Componentes Vulnerables y Desactualizados
9.1 Descripción.
9.1.1 Vulnerabilidades.
9.1.2 Prevención.
9.2 Ejercicios:
9.2.1 Explotación configuraciones inseguras en sistemas operativos.
UNIDAD 10: A07:2021 - Fallas de Identificación y Autenticación
10.1 Descripción.
10.2 Vulnerabilidades.
10.3 Prevención.
10.4 Ejercicios:
10.4.1 Robo de cookies de sesión.
UNIDAD 11: A08:2021 - Fallas en el Software y en la Integridad de los Datos
11.1 Descripción.
11.2 Vulnerabilidades.
11.3 Prevención.
11.4 Ejemplos.
UNIDAD 12: A09:2021 - Fallas en el Registro y Monitoreo
12.1 Descripción.
12.2 Vulnerabilidades.
12.3 Prevención.
12.4 Ejemplos.
UNIDAD 13: A10:2021 - Falsificación de Solicitudes del Lado del Servidor
13.1 Descripción.
13.2 Vulnerabilidades.
13.3 Prevención.
13.4 Ejercicios:
13.4.1 Pruebas SSRF
Audiencia
- Administradores de sistemas y redes que buscan fortalecer la seguridad y la respuesta ante incidentes en entornos empresariales.
- Analistas y especialistas en ciberseguridad interesados en mejorar sus estrategias de detección y mitigación de amenazas.
- Equipos de respuesta ante incidentes (SOC, CSIRT) que necesitan mejorar sus procesos de identificación y remediación de ataques.
- Consultores y auditores de seguridad que asesoran a empresas en la implementación de políticas y normativas de ciberseguridad.
- Desarrolladores de software y arquitectos de TI que desean integrar medidas de seguridad en aplicaciones y servicios.
- Empresas y startups que buscan proteger sus activos digitales y cumplir con regulaciones de seguridad.
Si deseas explorar más opciones de capacitacion, te invitamos a consultar nuestro Catálogo de Cursos y Certificaciones, donde encontrarás programas en Linux, Ciberseguridad, DevOps, Nube y Bases de Datos.
Requisitos
- Conocimientos básicos de desarrollo web, incluyendo HTML, CSS y JavaScript.
- Familiaridad con lenguajes de programación como Python, Java, PHP o JavaScript (deseable, pero no obligatorio).
- Entendimiento general sobre cómo funcionan las aplicaciones web, incluyendo peticiones HTTP, sesiones y autenticación.
- Conocimientos básicos de ciberseguridad, como ataques comunes (SQL Injection, XSS, CSRF, etc.).
- Experiencia en uso de herramientas de seguridad, como Burp Suite, OWASP ZAP o Wireshark (deseable, pero no obligatorio).
- Familiaridad con bases de datos y SQL, para entender ataques relacionados con inyección SQL y otras vulnerabilidades.
- Interés en aprender sobre vulnerabilidades y seguridad en aplicaciones web, con un enfoque práctico y realista.
* Campo obligatorio
Vive la experiencia de nuestros cursos
