Professional Penetration Tester

Descripción

Network Penetration Testing and Web App Penetration Testing v2

 

  • En este curso el estudiante aprenderá a desarrollar al máximo sus capacidades como pentester profesional
  • El curso hace un profundo análisis de las fases, metodología y técnicas empleadas durante un pentest de infraestructura y web
  • El curso está orientado 100% a práctica y expone a través de sus frameworks casos reales donde explotar vulnerabilidades web
  • El material del curso consta de acceso a la academia, material de apoyo, ejercicios, vídeos y acceso a los laboratorios
  • Instructores on-line para resolver dudas y realizar seguimientos
  • Los laboratorios exponen escenarios reales de la vida laboral
  • Sin limite de acceso a la academia y a su contenido
  • Actualizaciones periódicas
  • Introducción a OSINT
  • Metasploit
  • PDF descargables
  • Acceso ilimitado a los laboratorios

Pre-Requesitos

PRE-REQUISITOS

  • Comprensión básica de redes: TCP / IP, enrutamiento, reenvío, modelo OSI
  • Leer y entender el código C, Python, JAVA, PHP ayudará, aunque no es obligatorio.
  • Comprensión básica del protocolo HTTP, Cookies, Sesiones.
  • Comprensión de temas de seguridad TI y conceptos básicos de las pruebas de penetración
  • No se requieren habilidades de desarrollo.
Información

INFORMACIÓN DEL CURSO

  • Este curso ofrece al profesional los medios para profundizar y adquirir un profundo conocimiento en el área del pentest
  • El curso abarca en profundidad el campo de pentest de infraestructura y web ,  al igual que sus fases y técnicas
  • Incluye todo el material del curso ICPWAP y su certificación una vez obtenida la certificación ICPP+
  • Introduce al profesional al área de exploiting
  • Al finalizar el curso se realizaran una serie de exámenes
Material

CONTENIDO DE CALIDAD

  • +50 víieos de Pentest en Infraestructura
  • +35 vídeo de Pentest en Aplicaciones Web
  • Profesores on-line para resolver dudas y realizar seguimientos
  • Acceso multiplataforma a la academia
  • Ejercicios prácticos y pruebas de concepto
  • Exámenes finales teóricos y prácticos para obtener la certificación ICPP y ICPWAP
  • Acceso privado por VPN 24×7 a todos los laboratorios
Dirigido a

A QUIÉN VA DIRIGIDO

  • Pentesters
  • Profesionales IT
  • Managers / Gerentes
  • Desarrolladores
  • Administradores de Sistemas
  • Entusiastas de la seguridad que quieran ampliar conocimientos
  • CERTS
Usted será capaz de

Al concluir este curso usted será capaz

  • Desarrollar un alcance personalizado e implementar las reglas de compromiso para los proyectos de pruebas de penetración para garantizar que el trabajo esté enfocado, bien definido y se realice de manera segura
  • Conocer como llevar a cabo un reconocimiento detallado utilizando metadatos de documentos, motores de búsqueda y otras fuentes de información disponibles públicamente para desarrollar una comprensión técnica y organizativa del entorno objetivo.
  • Aprender las metodologías y como escribir informes ejecutivos y técnicos de alto nivel
  • Aprender sobre los lenguajes de C y Python para construir nuestras herramientas y scripts
  • Utilizar Nmap para realizar barridos de red completos, escaneo de puertos, huellas digitales del sistema operativo.
  • Aprender a ejecutar correctamente los scripts de Nmap Scripting Engine para extraer información detallada de los sistemas de destino
  • Configurar e implementar Nessus para descubrir vulnerabilidades a través de exploraciones autenticadas y no autenticadas de manera segura
  • Analizar la salida de las herramientas de escaneo para verificar manualmente los hallazgos y realizar una reducción de falsos positivos
  • Utilizar las líneas de comando de Windows y Linux para saquear los sistemas de destino para obtener información vital que pueda mejorar aún más el progreso de las pruebas de penetración.
  • Configure la herramienta de explotación Metasploit para escanear, explotar y luego pivotar a través de un entorno objetivo en profundidad
  • Aplicar una metodología detallada en sus pruebas de penetración de aplicaciones web: reconocimiento, mapa aplicativo, descubrimiento y explotación.
  • Cómo escribir exploits modernos contra los sistemas operativos Windows 7/8/10
  • Cómo realizar ataques complejos como desbordamiento de búfer, análisis y otros temas avanzados.
  • Analizar con éxito los resultados de las herramientas.
  • Validar los hallazgos, determinar su impacto en el negocio y eliminar los falsos positivos
  • Descubrir y explotar vulnerabilidades web de forma manual
  • Descubrir y explotar fallos TOP10 de OWASP 2017 y  determinar el verdadero riesgo para la organización
  • Crear configuraciones y usar herramientas para agilizar el proceso
  • Explicar el impacto para la organización cuando la explotación tiene éxito.
  • Analice el tráfico entre el cliente y la aplicación del servidor
  • Descubrir y explotar manualmente los ataques de falsificación de solicitudes entre sitios (CSRF)
  • Realice una prueba de penetración web completa en CMS y aplicaciones web
Formación Práctica

Entornos reales

  • Enumerar servicios
  • Recopilar información
  • Escribir exploit para windows o linux
  • Pivoting
  • Flags
  • Evaluar aplicaciones web
  • Fallos de configuración
  • Servicios vulnerables
  • Passwords comunes
  • Password débiles
  • Falta de parches

VIRTUAL LABS

El laboratorio virtual más sofisticado sobre pruebas de penetración ahora está disponible para practicar de manera segura y lo más realista posible, simulando situaciones reales de la vida cotidiana de un pentest profesional. El estudiante se conectará en VPN a la red remota de laboratorio virtual donde las estaciones de trabajo / servidores vulnerables.
 

Empresas o Grupos

Una licencia anual o personal para desarrollar un aprendizaje continuo en iHackLabs con panel de supervidor para monitorizar el progreso de los estudiantes y un descuento por compras en volumen

Particulares

iHackLabs Certified Professional Penetration Tester
999€

Infraestructura y Desarrollo de Exploit

Módulo 1: Introducción al pentesting
Módulo 2: Repaso de conceptos
Módulo 3: Fase de Gathering
Módulo 4: Fase de Enumeración
Módulo 5: Fase de Explotación
Módulo 6: Fase de Post-Explotación – Sistemas
Módulo 7: Desarrollo de Exploits en Windows y Linux
Módulo 8: OSINT
Módulo 1: Introducción al pentesting
  • Conceptos básicos
  • Tipos de test de penetración y metodologías
  • Fases de un test de penetración
  • Tipos de informes, presentación y entregables
Módulo 2: Repaso de conceptos
  • Modelo OSI y protocolos de comunicación
  • Sockets, introducción y ejercicios
  • Introducción a C++ y ejercicios
  • Introducción a Python y ejercicios
Módulo 3: Fase de Gathering
  • Descripción de la fase de gathering o recopilación
  • Métodos y herramientas más utilizados
  • Planificación y manejo de la información
  • Métodos de recopilación activa y pasiva
  • Descubrimiento y enumeración de servicios y banners, evasión de sistemas de detección
  • Vídeos de uso y manejo de herramientas utilizadas en la fase de gathering
  • Uso y manejo de la herramienta Nmap
Módulo 4: Fase de Enumeración
  • Enumeración de servicios más comunes y métodos de explotación SMTP, NetBIOS, SMB, X-Windows, etc.
  • Enumeración de bases de datos Microsoft SQL, MySQL y Oracle
  • Enumeración de servicios mas comunes
  • +15 ejercicios y vídeos prácticos con diferentes herramientas y métodos de los servicios auditados
Módulo 5: Fase de Explotación
  • La fase de explotación es quizá la más apasionante para un hacker o para un pentester
  • Herramientas más utilizadas, integración y uso
  • Nessus, Nmap, OpenVAS, ingeniería social, fuerza bruta, análisis con Wireshark
  • Pruebas de concepto, vídeos y ejercicios prácticos
  • Metasploit, base de datos, Scripts
Módulo 6: Fase de Post-Explotación – Sistemas
  • Test de penetración manual, técnicas y consejos
  • Revisión de servicios, variables de sistema, ficheros de configuración y logs
  • Elevación de privilegios
  • Técnicas de pivoting y port forwarding
  • Veremos también técnicas de Pivoting y aprenderemos a hacer Port Forwarding
  • Técnicas de redirección de tráfico, pass the hash, como salir de una prompt limitada, entre otros
  • Pruebas de concepto, vídeos y ejercicios prácticos
  • Introducción a la criptografía y análisis de algoritmos
  • Revisión de servicios, variables de sistema, ficheros de configuración y logs
  • Ataques a servicios online
  • Pruebas de concepto, vídeos y ejercicios prácticos
Módulo 7: Desarrollo de Exploits en Windows y Linux
  • Introducción al exploiting, tipos de exploits
  • Arquitectura X86, Instrucciones de CPU, Manejo de la pila
  • Ensambladores y Debuggers
  • Manipulación de registros
  • Localización de Buffer Overflows, Fuzzing
  • Shellcoding
  • Ejercicios y vídeos prácticos de Buffer Overflow en Win32 y Linux
Módulo 8: OSINT
  • Introducción a básica OSINT
  • Herramientas
  • Uso de API para buscar información

Aplicaciones Web

Módulo 1: Introducción al Pentest Web
Módulo 2: Fases de Gathering – Fingerprint
Módulo 3: Controles Lado Cliente
Módulo 4: Manejo de Sesiones
Módulo 5: Inyecciones
Módulo 6: Servicios Backend
Módulo 7: Ataques a Usuarios
Módulo 8: Infraestructura Web
Módulo 1: Introducción al Pentest Web
  • Conceptos básicos de un test de penetración web
  • Fases de un pentest web y su desarrollo
  • Contexto actual, herramientas más utilizadas y metodologías de trabajo más utilizadas
  • Fingerprinting, frameworks más utilizados, arquitectura web y métodos de ataque de ataque
  • Pruebas de concepto, vídeos y ejercicios prácticos
Módulo 2: Fases de Gathering – Fingerprint
  • En este capítulo se verán los conceptos básicos de métodos HTTP, tipos de autenticación y codificación
  • Introducción al manejo de Burp Suite
  • Se verá en detalle la fase de gathering, su terminología y las herramientas mas utilizadas
  • Fingerprinting, frameworks más utilizados, arquitectura web y métodos de ataque de ataque
  • Pruebas de concepto, vídeos y ejercicios prácticos
Módulo 3: Controles Lado Cliente
  • Análisis del contenido que se esconde al otro lado de una aplicación web
  • Vulnerabilidades desde el lado del cliente
  • Captura de tráfico, reconocimiento y análisis posterior
  • Serialización Java, Flash y Silverlight
  • Pruebas de concepto, vídeos y ejercicios prácticos
Módulo 4: Manejo de Sesiones
  • Análisis del contenido que se esconde al otro lado de una aplicación web
  • Vulnerabilidades desde el lado del cliente
  • Captura de tráfico, reconocimiento y análisis posterior
  • Serialización Java, Flash y Silverlight
  • Pruebas de concepto, vídeos y ejercicios prácticos
Módulo 5: Inyecciones
  • Tipos de inyecciones más comunes, detección y prevención
  • Inyecciones avanzadas en Microsoft SQL, MySQL y Oracle
  • Inyecciones XPath e Inyecciones LDAP
  • Pruebas de concepto, vídeos y ejercicios prácticos
Módulo 6: Servicios Backend
  • Fase de explotación de un test de penetración web
  • Inyecciones que permiten interactuar directamente con los servicios de back-end
  • Inyección de comandos de sistema, manipulación de path, inyecciones XML y la manera de prevenirlas
  • Pruebas de concepto, vídeos y ejercicios prácticos
Módulo 7: Ataques a Usuarios
  • Análisis y manejo de datos recopilados durante las fases anteriores
  • Ataques a sistemas y evaluación de su estado de seguridad
  • Detección y prevención de Cross-Site Scripting
  • Cross-Site Scripting: Reflejado, Almacenado y DOM
  • Pruebas de concepto, vídeos y ejercicios prácticos
Módulo 8: Infraestructura Web
  • Técnicas de ataque a servidores de aplicaciones
  • Vulnerabilidades más comunes dentro de la infraestructura de un servidor web
  • Ataques mediante buffer overflows
  • Pruebas de concepto, vídeos y ejercicios prácticos
Menú