SEC-542: Web App Penetration Testing and Ethical Hacking

Las pruebas de intrusión o actividades de hacking ético (conocidas como  penetration testing o ethical hacking en inglés) son auditorías de seguridad en las que el auditor o analista actúa como lo haría un posible atacante, pero con autorización, con el objetivo de evaluar el nivel real de seguridad de un conjunto de entorno(s), aplicación(es) o tecnologías de la información (TI) objetivo.

El analista debe emplear las mismas tácticas, técnicas, y herramientas que utilizaría un atacante real, y mediante un reconocimiento en profundidad del objetivo, identificar detalles, debilidades y vulnerabilidades, que una vez explotadas, le permitan (entre otros) tomar control del objetivo, acceder a información sensible, o actuar como puerta de entrada para atacar otros objetivos (dentro del alcance de la prueba de intrusión).

El curso "SEC 542: Web App Penetration Testing and Ethical Hacking" emplea una metodología para la realización de pruebas de intrusión de aplicaciones web dividida en cuatro fases: reconocimiento, mapeado, descubrimiento y explotación de vulnerabilidades. El objetivo del mismo es enseñar el arte de analizar y explotar aplicaciones web, con el objetivo de poder encontrar vulnerabilidades en las aplicaciones web de una organización antes de que lo haga un posible atacante. Las pruebas de intrusión en aplicaciones web tienen ciertas particularidades, analizadas en profundidad en el curso, que no se presentan en otro tipo de pruebas de intrusión, como las de red o wireless (tecnologías inalámbricas), para las que se dispone de otros cursos de SANS (SEC560 y SEC617, respectivamente).

A lo largo del curso se abordan de manera ofensiva y práctica los detalles asociados a cada tipo de ataque web y su contexto, de forma que puedan ser aplicados de manera intuitiva en cualquier entorno y aplicación web. Al finalizar dispondrás de los conocimientos necesarios para evaluar la seguridad de las aplicaciones web y descubrir las vulnerabilidades más comunes y críticas existentes en entornos web hoy en día.

El curso está dividido en 6 grandes módulos, días, o libros/manuales. El primer módulo ofrece una visión detallada de la web desde el punto de vista de un atacante, analizando los protocolos web y las diferentes vulnerabilidad existentes, así como la metodología recomendada para realizar pruebas de intrusión web y los aspectos no técnicos más relevantes a tener en cuenta. El segundo módulo se centra en las fases de reconocimiento y mapeo, con el objetivo de obtener la mayor cantidad de información posible y detalles sobre la(s) aplicación(es) web y entornos objetivo. Los días tercero y cuarto profundizan en las técnicas que permiten identificar vulnerabilidades en los componentes servidor y cliente de las aplicaciones web, respectivamente. Y finalmente, el quinto día (el más esperado por todos los asistentes... ¡al ataque! ;-) saca provecho de la información recopilada durante las fases de reconocimiento y mapeo, así como de las vulnerabilidades identificadas previamente, para explotarlas y obtener acceso y/o control de la(s) aplicación(es) web objetivo.

El último día permite a los asistentes poner en práctica los conocimientos, técnicas, herramientas y metodología aprendidos durante los cinco días previos del curso, con acceso a una red real, completando una prueba de intrusión en su totalidad sobre una compañía que dispone de diferentes aplicaciones web objetivo. Este tipo de reto o competición se conoce como “captura la bandera” (CtF, Capture the Flag) y... ¿quién ganará?

Durante todo el curso, incluido el reto, se dispondrá de una máquina virtual basada en Samurai WTF (www.samurai-wtf.org) y empleada para el análisis y realización de pruebas de intrusión web reales, así como de una máquina virtual que contiene múltiples aplicaciones web vulnerables, algunas reales y otras diseñadas a medida para el curso.

Opcionalmente, el curso tiene asociada la certificación GIAC GWAPT, que permite a los asistentes demostrar sus conocimientos para realizar pruebas de intrusión web.

Se dispone de más información detallada sobre el curso y los contenidos de cada uno de los 6 días en el menu de la derecha de la web de SANS Institute (en inglés): https://www.sans.org/security-training/web-app-penetration-testing-ethical-hacking-942-mid.