
¿Quieres aprender hacking web desde cero, pero con un enfoque profesional y práctico?
Este curso fue diseñado para personas que desean convertirse en expertos en ciberseguridad ofensiva, enfocándose en uno de los campos más demandados del mercado: el pentesting a aplicaciones web.
A lo largo del curso, aprenderás a identificar y explotar vulnerabilidades reales, utilizando las mismas herramientas y metodologías empleadas por profesionales en auditorías de seguridad. Desde ataques clásicos como SQL Injection o XSS, hasta técnicas más avanzadas como Server Side Request Forgery (SSRF), Insecure Deserialization o Server-Side Template Injection (SSTI).
No solo verás teoría, sino que trabajarás sobre laboratorios controlados con ejercicios paso a paso, capturas reales y explicaciones claras. Cada módulo está diseñado para que comprendas el por qué, el cómo se explota, y lo más importante: cómo mitigar los riesgos.
Contenido del curso:
Introducción y entorno de trabajo
Instalación de Kali Linux, estructura del curso, preparación del laboratorio.
Fingerprinting y Reconocimiento Inicial
Enumeración de servicios, subdominios, CMS, Google Hacking, análisis de WAF y uso de herramientas como Dirb, Gobuster, TheHarvester, WhatWeb y DNSrecon.
Configuraciones Inseguras
Identificación de leaks, headers incorrectos, paneles administrativos expuestos, error disclosure y prácticas inseguras comunes.
SQL Injection
Desde fundamentos hasta explotación manual y automatizada con sqlmap, union-based, error-based y blind.
Command Injection (RCE)
Identificación de vectores de ejecución remota de comandos, bypass de filtros y explotación real.
Fallos de Autenticación
Bypass de login, ataques por fuerza bruta, hijacking de sesiones, validación débil de tokens.
Vulnerabilidades del lado del cliente (Client-Side)
Reflected, Stored y DOM-Based XSS, ataques CSRF, utilización de BeEF para hookear víctimas.
Subida Insegura de Archivos
Upload de Web Shells, bypass de validaciones, evasión de restricciones de extensión y MIME type.
LFI & RFI (Local y Remote File Inclusion)
Exploración del sistema de archivos, lectura de archivos sensibles, ejecución remota con wrappers.
XXE & SSTI
Explotación de XML External Entities, Server Side Template Injection en motores como Jinja2 o Twig.
Deserialización Insegura
Explotación en entornos PHP y Java, carga de payloads maliciosos, bypass de validaciones.
Vulnerabilidades de Lógica de Negocio
Manipulación de precios, abuso de flujos de compra, descuentos mal implementados.
SSRF (Server Side Request Forgery)
Acceso a recursos internos desde el backend, exfiltración de datos y túneles internos.
Beneficios del curso:
Acceso de por vida a todas las clases y actualizaciones.
Certificado de finalización al completar el curso.
Clases 100% prácticas, sin relleno innecesario.
Explicaciones claras, herramientas gratuitas y entornos seguros para practicar.
Ideal para aplicar a empleos, participar en Bug Bounties o empezar tu carrera como pentester.
¿A quién va dirigido este curso?
Estudiantes de informática, redes o ciberseguridad.
Personas autodidactas interesadas en hacking ético.
Profesionales que quieren especializarse en seguridad ofensiva.
Participantes de CTFs o programas de bug bounty.
Todo aquel que quiera aprender a hackear sitios web… de forma legal y profesional.