Aprenda Hacking Web y Pentesting
4.5 (489 ratings)
Course Ratings are calculated from individual students’ ratings and a variety of other signals, like age of rating and reliability, to ensure that they reflect course quality fairly and accurately.
2,140 students enrolled

Aprenda Hacking Web y Pentesting

Aprenda las bases del Hacking Web, póngase en el lugar de un atacante real y proteja sus páginas/aplicaciones web.
4.5 (489 ratings)
Course Ratings are calculated from individual students’ ratings and a variety of other signals, like age of rating and reliability, to ensure that they reflect course quality fairly and accurately.
2,140 students enrolled
Created by Víctor García
Last updated 3/2020
Spanish
Spanish [Auto]
Current price: $59.99 Original price: $99.99 Discount: 40% off
1 day left at this price!
30-Day Money-Back Guarantee
This course includes
  • 5.5 hours on-demand video
  • 5 downloadable resources
  • Full lifetime access
  • Access on mobile and TV
  • Certificate of Completion
Training 5 or more people?

Get your team access to 4,000+ top Udemy courses anytime, anywhere.

Try Udemy for Business
What you'll learn
  • Configurar un entorno de laboratorio para practicar hacking
  • Instalar Kali Linux - un sistema operativo dedicado al pentesting
  • Instalar Windows y sistemas operativos vulnerables como máquinas virtuales para pruebas
  • Aprender los comandos de Linux y cómo interactuar con la terminal
  • Aprender los conceptos básicos de Linux
  • Comprender cómo funcionan los sitios web y las aplicaciones web
  • Comprender cómo los navegadores se comunican con los sitios web
  • Recopilar información confidencial sobre sitios web
  • Descubrir servidores, tecnologías y servicios utilizados en el sitio web de destino
  • Descubrir correos electrónicos y datos confidenciales asociados de un sitio web específico
  • Encontrar todos los subdominios asociados con un sitio web
  • Descubre directorios y archivos no publicados asociados con un sitio web de destino
  • Encontrar todos los sitios web alojados en el mismo servidor que el sitio web de destino
  • Descubrir, explotar y arreglar vulnerabilidades de carga de archivos
  • Aprovechar las vulnerabilidades avanzadas de carga de archivos y obtener el control total sobre el sitio web de destino
  • Interceptar solicitudes usando un proxy
  • Descubrir, explotar y arreglar vulnerabilidades de ejecución de código
  • Aprovechar las vulnerabilidades de ejecución de código avanzada y obtener el control total sobre el sitio web de destino
  • Descubrir, explotar y arreglar vulnerabilidades de inclusión local de archivos
  • Aprovechar las vulnerabilidades avanzadas de inclusión local de archivos y obtener el control total del sitio web de destino
  • Aprovechar las vulnerabilidades avanzadas de inclusión remota de archivos y obtener el control total sobre el sitio web de destino
  • Descubrir, arreglar y explotar las vulnerabilidades de inyección SQL
  • Eludir los formularios de inicio de sesión e iniciar sesión como administrador mediante inyecciones SQL
  • Escribir consultas SQL para buscar bases de datos, tablas y datos confidenciales, como nombres de usuario y contraseñas de anuncios mediante inyecciones SQL
  • Eludir el filtrado e iniciar sesión como administrador sin contraseña mediante inyecciones SQL
  • Adoptar consultas SQL para descubrir y explotar inyecciones SQL en páginas más seguras
  • Eludir filtrado y medidas de seguridad
  • Descubrir y explotar las Blind SQL Injections
  • Leer / escribir archivos en el servidor usando inyecciones SQL
  • Obtener control total sobre el servidor de destino utilizando inyecciones SQL
  • Solucionar inyecciones SQL rápidamente
  • Aprender la forma correcta de escribir consultas SQL para evitar inyecciones SQL
  • Descubrir vulnerabilidades de XSS reflejadas básicas y avanzadas
  • Descubrir vulnerabilidades de XSS persistentes o almacenadas básicas y avanzadas
  • Descubrir vulnerabilidades de XSS basadas en DOM
  • Cómo usar BeEF Framework
  • Capturar objetivos en BeEF Framework usando vulnerabilidades XSS reflejadas, persistentes y basadas en DOM
  • Robar credenciales de objetivos capturados
  • Ejecutar código de JavaScript en objetivos capturados
  • Crear una puerta trasera (backdoor) indetectable
  • Hackear computadoras capturadas y obtener un control total sobre ellas
  • Solucionar las vulnerabilidades de XSS y protegerte de ellas como usuario
  • Qué queremos decir con fuerza bruta y ataques de diccionario
  • Crear un diccionario para ataques de fuerza bruta
  • Lanzar un ataque de diccionario y adivinar la contraseña del administrador
  • Descubrir todas las vulnerabilidades anteriores de forma automática con un proxy web
  • Ejecutar comandos del sistema en el servidor web de destino
  • Acceder al sistema de archivos (navegar entre directorios, leer / escribir archivos)
  • Descargar, subir archivos
  • Eludir medidas de seguridad
  • Acceder a todos los sitios web en el mismo servidor web
  • Conectar a la base de datos y ejecutar consultas SQL o descargar la base de datos completa a la máquina local
  • Identificar y crackear hashes
  • Atacar fuera de la red de área local
Requirements
  • Habilidades básicas en informática
  • Ordenador con un mínimo de 4GB de memoria RAM
  • Procesador que soporte la virtualización por hardware (Intel-VT o AMD-V)
  • Sistema operativo: Windows / Mac OS X / Linux
Description

Si le apasiona el mundo del pentesting, este curso le permite aprender cómo hackear páginas/aplicaciones web desde cero a niveles más avanzados, al igual que lo haría un atacante real. No se necesita ningún conocimiento previo en la materia.

En primer lugar, realizaremos las prácticas bajo un entorno controlado e instalaremos todos los programas necesarios.

Después, explicaremos el funcionamiento de un sitio web y cómo podemos llegar a lograr el control total de este.

Una vez comprendidos estos aspectos básicos de un sitio web, comenzaremos con el núcleo del curso. El núcleo del curso se desarrolla en tres partes principales:

1. Recopilación de información: Se trata de la primera fase de un ataque. En ella se intenta recolectar toda la información posible acerca del objetivo como, por ejemplo: tecnologías, información sobre el DNS, sitios web en el mismo servidor, subdominios... Esta información permite a un atacante hacerse una imagen previa de la estructura, versiones usadas... del objetivo y perfilar su ataque, aumentando las probabilidades de éxito.

2. Vulnerabilidades: En esta sección aprenderá como identificar, explotar y solucionar las vulnerabilidades más comunes e importantes. Se explicará cada una de estas y qué nos permiten, su explotación desde un nivel básico a uno más avanzado y finalmente veremos el código que las causa junto con cómo solucionarlas. Estas son las vulnerabilidades cubiertas en el curso:

  • Carga de archivos: Permite a un atacante subir cualquier archivo en el servidor web objetivo.

  • Ejecución de código: Permite a un atacante la ejecución de código arbitrario en el sistema operativo del servidor web objetivo.

  • Inclusión local y remota de archivos: Permiten a un atacante ejecutar código malicioso y/o llevar acabo robo de información mediante la manipulación de parámetros vulnerables en el objetivo. Las LFI afectan ficheros a nivel local del servidor y las RFI permiten la carga de ficheros remotos.

  • Inyección SQL: Permite a un atacante inyectar consultas SQL a través de las entradas de datos de una aplicación, esto supone: extraer/modificar/eliminar información y/o comprometer cuentas administrativas.

  • XSS: Permiten a un atacante ejecutar cualquier código JavaScript, esto supone: acceder a todo tipo de información sensible almacenada en la parte del cliente. Existen tres categorías diferentes de XSS: almacenado o persistente, reflejado y basado en el DOM.

  • CSRF: Permite a un atacante iniciar sesión en otras cuentas de usuarios sin conocer su contraseña.

  • Ataques de fuerza bruta y diccionario: Permiten a un atacante adivinar contraseñas de inicio de sesión del objetivo.

3. Post-explotación: Este capítulo describirá qué puede hacer con el acceso que obtuvo gracias a las vulnerabilidades anteriores, como, por ejemplo: interactuar con una shell inversa, acceder a otros sitios web en el mismo servidor, ejecutar comandos de la shell, eludir privilegios ilimitados, descargar/subir archivos en el servidor web objetivo…

Cuando termine el curso, podrá lanzar ataques y probar la seguridad de cualquier sitio/aplicación web, pero no solo eso, también podrá corregir estas vulnerabilidades y protegerse.

NOTA: Este curso se creó solo con fines educativos y todos los ataques se inician en un entorno controlado o contra dispositivos con autorización. 

Who this course is for:
  • Cualquiera que esté interesado en aprender hacking / pentesting de sitios web y aplicaciones web
  • Cualquiera que quiera aprender a proteger sitios web y aplicaciones web de hackers
  • Cualquiera que quiera aprender cómo los hackers hackean sitios web
  • Administradores web para que puedan proteger sus sitios web
  • Desarrolladores web para que puedan crear aplicaciones web seguras y proteger las existentes
Course content
Expand all 97 lectures 05:17:06
+ Introducción al curso
1 lecture 02:01

Hola y bienvenido a este curso, esta clase le dará una visión general de la estructura del curso y de lo que aprenderá en él.

Preview 02:01
+ Preparación - Creación de un laboratorio de pentesting
4 lectures 14:09

Esta clase le dará una visión general del laboratorio que necesitaremos configurar para este curso.

Visión general del laboratorio - Software necesarios
01:34

Esta clase le brindará una visión general del software que necesita instalar para este curso y cómo puede instalarlo.

También verá cómo instalar Kali como una máquina virtual.

Instalación de Kali Linux como una máquina virtual
07:54

En esta clase, aprenderá cómo instalar un sistema operativo vulnerable (Metasploitable) como una máquina virtual para que podamos usarlo para practicar pruebas de penetración en futuras clases.

Instalación de Metasploitable 2 como una máquina virtual
02:30

En esta clase, aprenderá a configurar una máquina virtual de Windows para que podamos intentar entrar en ella y practicar pruebas de penetración.

Instalación de Windows 10 como una máquina virtual
02:11
+ Preparación - Conceptos básicos de Linux
3 lectures 11:00

En esta clase vamos a echar un vistazo básico a Kali Linux para que te sientas cómodo con su uso.

Visión general de Kali Linux
03:34

En esta clase, aprenderá a interactuar con la terminal de Linux y ejecutar comandos de Linux.

La terminal de Linux - Comandos básicos
04:25

En esta clase, aprenderá cómo configurar los ajustes de red para las máquinas del laboratorio y cómo acceder a los sitios web que trataremos de hackear desde la máquina Kali.

Configurando Metasploitable 2 - Ajustes de red del laboratorio
03:01
+ Aspectos básicos de un sitio web
2 lectures 05:55

Esta clase entenderá qué es un sitio web, qué contiene y cómo funciona.

¿Qué es un sitio web?
02:34

En esta clase, aprenderá los diversos métodos y enfoques que pueden utilizarse para hackear un sitio web. 

Cómo hackear un sitio web
03:21
+ Recopilación de información
9 lectures 32:48

En esta clase, aprenderá a recopilar información sobre el propietario del sitio web / nombre de dominio, la dirección IP del servidor, la empresa de alojamiento y más.

Recopilando información utilizando Whois Lookup
04:44

En esta clase utilizaremos Netcraft para descubrir las tecnologías utilizadas en el sitio web de destino, como el servidor web utilizado, las aplicaciones web instaladas y más.

Descubriendo las tecnologías utilizadas en el sitio web
03:40

Esta clase le mostrará cómo recopilar información DNS detallada sobre el sitio web objetivo, como sus registros DNS, los recursos que comparte con otros sitios web y más.

Recopilando información comprensiva sobre DNS
03:37

Esta clase le mostrará cómo descubrir sitios web en el mismo servidor que su sitio web objetivo, esto es muy útil, ya que estos sitios web se pueden utilizar para obtener acceso a su sitio web objetivo

Descubriendo sitios web en el mismo servidor
02:03

En esta clase usaremos una herramienta llamada Knock para descubrir subdominios en el sitio web de destino, esto es útil ya que estos subdominios podrían contener aplicaciones web beta, aplicaciones web privadas o páginas de inicio de sesión.

Descubriendo subdominios
03:28

En esta clase aprenderá a usar una herramienta llamada Dirb para descubrir archivos en el sitio web de destino, esto puede ser útil si revela archivos que contienen datos confidenciales

Descubriendo archivos confidenciales
03:40

En esta clase, analizaremos los archivos que descubrimos en la clase anterior y veremos la información que contienen. 

Analizando los archivos descubiertos
03:14

Maltego es una gran herramienta de recopilación de información que se puede utilizar para recopilar información acerca de cualquier cosa (personas, sitios web, computadoras, servidores...).

En esta clase, tendremos una visión general de la herramienta y algunos usos básicos, aprenderá a descubrir dominios, sitios web, servidores y correos electrónicos asociados con su objetivo. 

Maltego - Descubriendo servidores, dominios y archivos
06:06

En esta clase profundizaremos en Maltego, aprenderá a descubrir más información sobre  el objetivo, como el correo electrónico del administrador, la empresa de alojamiento y los servidores, y presentará esta información muy bien.

Preview 02:16
+ Vulnerabilidades de carga de archivos
6 lectures 20:06

Esta clase le enseñará cómo descubrir y explotar las vulnerabilidades de carga de archivos para obtener un control total sobre el servidor de destino.

Qué son y cómo descubrir/explotar vulnerabilidades de carga de archivos básicas
05:21

En esta clase aprenderá más sobre cómo funcionan los sitios web, cómo se comunica el navegador con el servidor web, los tipos de solicitud HTTP y cómo explotar este método de comunicación

Preview 02:18

En esta clase, aprenderá cómo usar Burp Suite para interceptar solicitudes GET & POST y cómo modificarlas.

Interceptando solicitudes HTTP
03:56

Ahora que sabe cómo interceptar las solicitudes HTTP, aprenderá cómo aprovechar una vulnerabilidad de carga de archivos más segura y obtener control total sobre el servidor web objetivo.

Preview 02:12

En esta clase, echaremos un vistazo a una página de carga aún más segura, y aprenderá cómo aprovechar esta funcionalidad de carga de archivos y obtener el control total sobre el servidor web objetivo.

Explotando vulnerabilidades de carga de archivos más avanzadas
01:54

En esta clase, echaremos un vistazo al código que causa las vulnerabilidades anteriores, aprenderá por qué las vulnerabilidades anteriores son explotables, cómo arreglar estas páginas y evitar vulnerabilidades de carga de archivos.

Seguridad - Reparación de vulnerabilidades de carga de archivos
04:25
+ Vulnerabilidades de ejecución de código
3 lectures 10:51

Esta clase le enseñará a descubrir y explotar las vulnerabilidades de ejecución de código para obtener una shell inversa y obtener control total sobre el servidor de destino.

Qué son, cómo descubrir/explotar vulnerabilidades de ejecución de código básicas
04:13

Esta clase le enseñará a explotar vulnerabilidades de ejecución de código más seguras para obtener una shell inversa y obtener control total sobre el servidor de destino.

Explotando vulnerabilidades de ejecución de código avanzadas
03:02

En esta clase, echaremos un vistazo al código que causa las vulnerabilidades anteriores, aprenderá por qué las vulnerabilidades anteriores son aprovechables, cómo arreglar estas vulnerabilidades y proteger las páginas de las vulnerabilidades de ejecución de código.

Seguridad - Reparación de vulnerabilidades de ejecución de código
03:36
+ Vulnerabilidades de inclusión local de archivos (LFI)
3 lectures 09:11

Esta clase le enseñará a descubrir y explotar las vulnerabilidades de inclusión local de archivos para leer cualquier archivo en el servidor de destino.

Qué son, cómo descubrirlas y explotarlas
02:31

En esta clase, aprenderá a usar la inclusión local de archivos para obtener una shell inversa y obtener el control total sobre el servidor web objetivo.

Preview 03:26

Aquí aprenderá otro método para usar la inclusión local de archivos para obtener una shell inversa y obtener el control total sobre el servidor web objetivo.

Obteniendo acceso a la shell a partir de vulnerabilidades LFI - Método 2
03:14
+ Vulnerabilidades de inclusión remota de archivos (RFI)
4 lectures 10:46

Esta clase le enseñará a configurar la configuración de PHP para permitir la inclusión remota de archivos, para que podamos practicar una vulnerabilidad de inclusión remota de archivos en la próxima clase.

Vulnerabilidades de inclusión remota de archivos - Configuración de PHP
02:19

Esta clase le enseñará cómo descubrir y explotar las vulnerabilidades de inclusión remota de archivos para obtener una shell inversa y obtener un control total sobre el servidor de destino.

Vulnerabilidades de inclusión remota de archivos - Descubrimiento y explotación
03:24

Esta clase le enseñará a explotar vulnerabilidades de inclusión remota de archivos más seguras para obtener una shell inversa y obtener control total sobre el servidor de destino.

Explotando vulnerabilidades de inclusión remota de archivos avanzadas
01:39

En esta clase veremos el código que causa las vulnerabilidades anteriores (tanto la inclusión local de archivos como remota), aprenderá por qué las vulnerabilidades anteriores son aprovechables, cómo solucionar estas vulnerabilidades y proteger las páginas de las vulnerabilidades de inclusión de archivos.

Seguridad - Reparación de vulnerabilidades de inclusión de archivos
03:24
+ Vulnerabilidades de inyección SQL
2 lectures 04:54

Esta clase explicará qué es SQL y para qué se utiliza, esto es importante de entender antes de profundizar en las vulnerabilidades de inyección SQL.

Qué es SQL
03:51

Esta clase destaca por qué las inyecciones SQL se consideran una de las vulnerabilidades más peligrosas y para qué se puede utilizar.

Peligros de las inyecciones SQL
01:03