SIA Academia

“El ataque de hackers en la red”La Guerra cibernética de hoy

Duración: entre 10 y 12 días

IntroducciónEl curso sobre “El ataque de hackers en la red” ha sido diseñado para proveer a losparticipantes de un profundo entendimiento de las técnicas que los hackers utilizan yaplican. El curso además se enfoca en la habilidad para aplicar esas mismas técnicascomo medios de prueba de seguridad en las aplicaciones de la red.

Durante el entrenamiento los participantes aprenderán a entender las fallas de laprogramación lo cual conduce al nivel de vulnerabilidades, como también las técnicasvigentes que los hackers utilizan frente a las vulnerabilidades actuales en lasaplicaciones de red.

Este entrenamiento incluye práctica real en el exclusivo Luftgescheft Bank, el cualsimula una aplicación real bancaria on-line y permite a los estudiantes la práctica conelementos reales.

RequisitosEstar familiarizado con las tecnologías de aplicaciones de red

Poseer conocimiento básico de las redes de trabajo

Estar familiarizado con el Lenguaje SQL

Estar familiarizado con el desarrollo de software

Programa general del curso

Semana 1

Introducción y puntos esenciales

Introducción:o Introducción a las aplicaciones de Seguridado Comparativo entre Infraestructura y aplicaciones de Ataqueso Información de entrenamiento

Puntos importantes en la actividad del hackero Metodologías de testeo de penetración o intrusióno Entendimiento del Protocolo HTTP (Internet)o Herramientas de testeo

Trabajo con la aplicación de entrenamiento Lurtgescheft

Acerca de SIA

SIA – Security and IntelligenceAdvising – es una organizaciónInternacional especializa enconsultoría en Seguridad,Inteligencia y Protección, fundada enIsrael y formada por un gruposelecto de profesionales conprobadas aptitudes, vastaexperiencia y reconocida trayectoriamundial.SIA también cuenta con laaprobación y autorización de SIBAT,Departamento de Asistencia Exteriory Exportaciones de Defensa,Ministerio de Defensa de Israel.SIA opera en las áreas de Seguridad,Investigación y Capacitación.Nuestros cursos de entrenamientoincluyen custodia de VIP en variosniveles, lucha cuerpo a cuerpo (KravMaga), tiro en diferentes niveles,francotiradores, conducción ensituaciones de riesgo, inteligencia,gerenciamiento de contingencias ycrisis, entre muchos otros.Para mayor información visítenos en:

www.siacorp.com

“El enemigo”Reconocimiento y recopilación de Información

Intrusión y escaneo del Sitio:o El uso de herramientas automáticas de escaneoo Identificación de la Infraestructura Principal y Básicao Aplicaciones de mapeo automático y manual

Fuentes del cliente para el Análisis de códigos:o Localización de fuentes de códigos de HTML y JavaScripto Identificación de comentarios y de información escondida o camufladao Extracción de información lógica del negocioAnálisis del mensaje de Error:o Entendimiento de los Errores y sus motivos y/o causaso Extracción de información de los mensajes de Error por defectoo Aplicación de mensajes generados de ErrorFuentes del Servidor para la revelación de códigos:o Propósito principal de la revelación de las Fuentes del Servidoro Técnicas conocidas y desconocidas para revelar Fuentes de Códigoso Análisis de las fuentes de códigos reveladas por el ServidorParámetros de estimación/especulación y enumeración de archivos:o Identificación y utilización de Archivos por defecto (default)o Enumeración secuencial de archivos o parámetros

“Bienvenido a la maquina”Sistema e Infraestructura relacionados con los ataques

Vulnerabilidades conocidasIdea general acerca del exceso de búfer o memoria:o Apilar VS Cúmulo de exceso de memoriao Ejecución remota con exceso de memoriaIntroducción a sistemas de comandos (Comando secreto)Introducción a SMTPDirectorio cruzado o contradictorio:o Mecanismos de protección en el acceso al directorioo Vulnerabilidades del directorio cruzado del servidor Webo Utilización o propósito del Nivel del Directorio cruzadoFalta de servicio o resistencia al mismoEvasión de filtros de Seguridado Idea general de mecanismos de filtroo Evasión de filtros en las fuentes de codificacióno Parámetros/Encapsulación de etiquetas o marcaso Parámetros/Repetición o duplicación de etiquetas o marcas

“Yo no he sido”Evasión de Autenticaciones y Autorizaciones

Idea general de autenticaciones y autorizaciones de la Web

Armado del Ataque:o Idea general del armadoo Armado de métodos y técnicas de Hijacking (Usurpación)o Complejidad del armado

Relevancia de un ataque de alto poderIntroducción a Scripts y Sitio cruzado de escritura:o Robo de información del cliente utilizando scriptso Introducción a Scripts guardados en base de datoso Usos y técnicas del Sitio Cruzado de escriturao Rastreo del sitio cruzado

Búsqueda potente y Evasión del flujo

“La brecha esencial”Ataques contra otro sitio o negocios como bancos, organizaciones, etc.Resumen del ejercicio

Manipulación de parámetroso Utilización de los parámetros del “cliente”o Manipulación en el campoo Direcciones o guía para la manipulación de parámetroso Manipulación de parámetros en pedidos internos

Lo toxico y peligroso de las Cookies (Links de páginas Web que se abren automáticamente)o Cookies temporarias y permanenteso Cuantificación del daño de un ataque a través de Cookieso Daños ocasionados por Cookies y Ataques de avanzadaIntroducción a SQLo Idea general de SQLo Introducción a la utilización del SQLo Técnicas Avanzadas de SQLo Introducción al SQL ciego o vendadoo La firma en SQL – Técnicas de evasióno Introducción a la búsqueda de SQL con código binarioResumen del ejercicio – Dentro de la cámara

Semana 2Entrenamiento en Ataques y Ejercicio real

Ejercicio real de ataqueFormas progresivas de ataqueComo construir escenarios de ataque de acuerdo a la información anticipada que se tiene

Experiencia, práctica

Como lidiar con sistemas de defensa y protección