Udemy
    •  
    •  
    •  
    •  
    •  
    •  
    •  
    •  
Turn what you know into an opportunity and reach millions around the world.
Learn More
Your cart is empty.
Keep shopping
Aprender OWASP TOP TEN en .NET para principiantes
Rating: 3.9 out of 5(99 ratings)
285 students

Aprender OWASP TOP TEN en .NET para principiantes

Entrenamiento en seguridad informática en aplicaciones web MVC .NET con técnicas de ataque y ejemplos.
Created byLeandro Ferrari
Last updated 4/2022
Spanish

What you'll learn

  • Conocer y entender las 10 vulnerabilidades consideradas críticas por OWASP TOP TEN en .NET
  • Entender las amenazas y vulnerabilidades a las que está expuesta cualquier aplicación.
  • Reconocer y detectar de manera proactiva las falencias del desarrollo de las aplicaciones.
  • Aprender a utilizar algunas herramientas para la auditoria de sistemas web.
  • Reconocer mitigaciones para implementar durante el análisis y desarrollo de un sistema web.
  • Iniciar un entrenamiento en base a la práctica y aventurarse por su cuenta en una dinámica de pruebas en un ambiente controlado de entrenamiento.

Course content

3 sections37 lectures2h 58m total length
  • Introducción5:40
  • OWASP TOP TEN4:34
  • OWASP TOP TEN 2017 - 20213:01
  • Metodología5:51

    Metodología del curso

    • Reconocimiento: Realizar un reconocimiento del sistema para conocer

      • Tecnologías que utiliza: versión de servidor, de base de datos, módulos del servidor de aplicaciones.

      • Librerías externas

      • Estructura del árbol de directorios

      • Peticiones con parámetros

      • Campos Hidden

      • Comentarios

      • Cual es el negocio del sistema

      • Descubrimiento de directorios

    • Análisis:

      • Análisis de peticiones y sus parámetros

      • Análisis de formularios y captchas

      • Análisis de comunicación cifrada entre cliente y servidor

      • Análisis de datos en la cookie

      • Análisis de la sesión del usuario

      • Análisis de recuperación de contraseñas

      • Análisis de registro al sistema

      • Análisis de API

    • Explotación:

      • Pruebas de inyección de html y javascript

      • Pruebas de inyección de sql

      • Pruebas de manipulación de lógica del sistema

      • Pruebas de autenticación y autorización

      • Pruebas de registro al sistema

      • Pruebas Bypass de subida de archivos

      • Pruebas de sesiones y peticiones POST a GET

      • Pruebas de inclusión de archivos locales o remotos

      • Pruebas de ejecución de comandos del sistema operativo

    • Post-Explotación:

      • Extracción de información del sistema

      • Subida y acceso a shell del sistema operativo

      • Inyección de código malicioso

      • Robo  de sesiones y credenciales de acceso

      • Robo de credenciales de sistema operativo y cracking de password

  • Herramientas0:52

    OWASP Zap Proxy

    Zapproxy es un sistema opensource completamente libre para la comunidad utilizado por desarrolladores, QA, Consultores,  analistas y auditores en seguridad.

    Algunas características

    • UI Deskop

    • API

    • Add-ons

    • Spiders

    • Ataques pasivos y activos

    • Políticas de escaneo

    • Scripting

    • Fuzzing

    Zaproxy descargar: https://github.com/zaproxy/zaproxy/wiki/Downloads

    Configuración de Zap con navegador

    Tutorial: https://www.youtube.com/embed/jV4jZL2hy1Y

    Docker Zap Proxy

    docker pull owasp/zap2docker-stable

    Referencia: https://github.com/zaproxy/zaproxy/wiki/Docker

    API Zap

    Habilitar la API de opciones y se accede http://localhost:8080/

    Utilizar el API ZAP en Docker

    docker
    run -t owasp/zap2docker-stable
    zap-api-scan.py -t https://www.example.com/openapi.json -f
    openapi

    Referencia: https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsApi

    Baseline Scan Docker

    Característica

    • Usa Docker

    • Tiempo limite del spider 1 min por defecto

    • Escaneos Pasivos

      • Security headers

      • Cookies

      • Error disclosure

      • CSRF

    docker run -t owasp/zap2docker-stable zap-baseline.py -t https://www.example.com

    Referencia: https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan

    Desktop UI sin JAVA

    docker run -u zap -p 8080:8080 -p 8090:8090 -i owasp/zap2docker-stable zap-webswing.sh http://localhost:8080/?anonym=true&app=ZAP

    Referencia: https://github.com/zaproxy/zaproxy/wiki/WebSwing

    Recursos

    • https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

  • Arquitectura en capas3:35
  • Análisis de una petición3:36
  • ¿Cuál es el negocio?1:00
  • Configurar proxy con navegador3:52

    Zap proxy

    1. Que es el zapproxy?

    2. Descargar ZapProxy: https://github.com/zaproxy/zaproxy/wiki/Downloads

    3. Que es el contexto?

    4. Configuramos el Proxy con el navegador: Proxy: 127.0.0.1 y puerto 8080

    Opciones del Proxy

    1. Plugins pasivos y activos

    2. Alertas Pasivas y activas

    3. Incluir en el contexto al sitio que queremos testear

      1. Configurar las propiedades del contexto según la tecnología del sitio

      2. Setear Seguimiento de la Cookie

      3. Configurar tipos de escaneos

    4. Realizar un Ataque el sitio realizando un:

      1. Spider sobre el contexto

      2. Browser Directory

    5. Verificar Alertas

    6. Ver en History las peticiones

    7. Luego verificar las alertas y ver una por una si son Falsos Positivos y eliminarlas.

  • Laboratorio de entrenamiento0:27

Requirements

  • Conocimientos básico de networking
  • Conocimientos de lenguaje de programación .NET básico
  • Conocimiento de uso de Visual Studio 2015 básico

Description

Este curso del OWASP Top 10 en aplicaciones .NET está focalizada en conocer los problemas de seguridad más comunes en aplicaciones web .NET. Se explicará en detalle cada uno de los riesgos de seguridad más comunes hoy en día, con prácticas reales en un laboratorio de entrenamiento y demostraciones.

El alumno podrá iniciarse el entrenamiento en base a la práctica y aventurarse por su cuenta en una dinámica de pruebas en un ambiente controlado de entrenamiento.

Se proponen en esta edición prácticas en modo ataque de entrenamiento y implementación de  remediaciones para mitigar el problema, como también recomendaciones.

Las prácticas de entrenamiento se basan en sistema para entrenar la búsqueda de vulnerabilidades que permite explorar las consecuencias de dichas vulnerabilidades.

Se irá actualizando el curso a medida que aparezcan nuevas vulnerabilidades comunes del OWASP TOP TEN.

Es importante en el desarrollo de un sistema contemplar el área de seguridad desde el análisis y diseño del mismo, con el fin de mitigar el impacto de nuevas vulnerabilidades, cuando el sistema se encuentra en producción. Pero es necesario conocer las vulnerabilidades comunes que se encuentran hoy en día para entender como se producen, que variables contienen y como se mitigan para poder enfocarse a mejorar la seguridad de una aplicación desde el inicio de la idea del mismo.

Who this course is for:

  • Empresas de desarrollo que necesiten capacitar a sus colaboradores para mejorar el nivel de seguridad de sus aplicaciones.
  • Desarrolladores que quieran conocer la forma de ataques a aplicaciones web .NET.
  • Administradores, líderes de proyecto, analistas de sistemas y de arquitectura que quieran empezar a comprender como se realizan los ataques a sistemas web.