SlideShare ist ein Scribd-Unternehmen logo

Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy

Alonso Caballero
Alonso Caballero

Este webinar expone detalladamente el proceso de utilizar la distribución Kali Linux; orientada a realizar pruebas de penetración y auditorías de seguridad; y específicamente la herramienta OWASP Zed Attack Proxy (ZAP), para realizar un spidering automático y una búsqueda de directorios utilizando fuerza bruta; procesos correspondientes a la etapa del mapeo de una aplicación web, con el propósito de evaluar su seguridad.

Technologie
1 von 12
Downloaden Sie, um offline zu lesen
Alonso Eduardo Caballero Quezada Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com Jueves 6 de Agosto del 2020 WebinarGratuito Mapear una Aplicación Web con Zed Attack Proxy
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Presentación Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials Certificate, IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security Fundamentals, Phishing Countermeasures Pen Testing, Certificate Autopsy Basics and Hands On e ICSI Certified Network Security Specialist. Instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky Perú. Cuenta con más de 17 años de experiencia y desde hace 13 años labora como consultor e instructor independiente en las áreas de Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Forense Digital, GNU/Linux. https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero https://www.facebook.com/alonsoreydes/ http://www.reydes.com https://www.linkedin.com/in/alonsocaballeroquezada/ reydes@gmail.com
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Mapear una Aplicación Web En una Prueba de Penetración existe una etapa de exploración, donde el profesional intenta conocer tanto como sea posible el sistema en evaluación. El mapeo implica conocer aquello lo cual constituye la aplicación, además de su entorno. Abarca diferentes elementos, los cuales se detallan a continuación: ● Enumerar el contenido y la funcionalidad de las aplicaciones ● Si algo está oculto, se requiere realizar un proceso para tratar de descubrirlo ● Examinar cada aspecto sobre el comportamiento, mecanismos de seguridad, y tecnologías ● Determinar la superficie de ataque y vulnerabilidades * https://www.zaproxy.org/getting-started/
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Zed Attack Proxy ZAP es un herramienta libre y de fuente abierta para pruebas de penetración, la cual es mantenida bajo el proyecto OWASP. ZAP está específicamente diseñado para realizar pruebas contra aplicaciones web, siendo flexible y ampliable. En su núcleo, ZAP es aquello lo cual se conoce como un proxy “Hombre en el Medio”. Se sitúa entre el navegador del profesional en pruebas de penetración y la aplicación web, de tal manera puede interceptar e inspeccionar los mensajes enviados entre el navegador y la aplicación web, modificar el contenido si es necesario, para luego retransmitir los paquetes hacia su destino. Puede ser utilizado como una aplicación autónoma y como un proceso demonio. ZAP proporciona funcionalidades para un amplio rango de niveles en conocimientos; desde desarrolladores hasta profesionales nuevos en pruebas de seguridad, como también especialistas en el tema. * https://www.zaproxy.org
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Spider Es utilizado para automáticamente descubrir nuevos recursos (URLs) en un sitio particular. Inicia con una lista de URLs a visitar llamadas semillas, lo cual depende de como el Spider inicia. Luego visita estas URLs, identifica todos los hipervínculos en la página, y luego los añade hacia la lista de URLs a visitar, luego el proceso continúa recursivamente conforme nuevos recursos se encuentren. El Spider puede ser configurado e iniciado utilizando ZAP. Durante el procesamiento de una URL, el Spider hace una petición para capturar el recurso, luego interpretar la respuesta identificando hipervínculos. Tiene diferentes comportamientos cuando procesa ciertos tipos de respuestas: ● HTML ● Archivos robots.txt ● Formato OData Atom ● Respuesta de texto No HTML ● Respuesta No texto * https://www.zaproxy.org/docs/desktop/start/features/spider/
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Forced Browse (Navegación Forzada) Zed Attack Proxy intenta descubrir directorios y archivos utilizando una navegación forzada. Un conjunto de archivos son proporcionados, los cuales contienen un extenso número de potenciales nombres de directorios y archivos. ZAP intenta acceder directamente hacia todos los archivos y directorios listados en el archivo seleccionado, en lugar de encontrar los enlaces en estos. Esta funcionalidad se basa en el código del proyecto de nombre DirBuster de OWASP. * https://www.zaproxy.org/docs/desktop/addons/forced-browse/
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Fuzzing El Fuzzing es una técnica para enviar una gran cantidad de datos inválidos o inesperados hacia algo. Zed Attack Proxy permite hacer fuzzing a cualquier petición utilizando: ● Un conjunto incorporado de Payloads ● Payloads definidos mediante add-ons opcionales ● Scripts personalizados Algunos temas adicionales importantes: ● Generadores de Payloads ● Procesadores de Payloads ● Procesadores de Ubicación de Payloads ● Procesadores de Mensajes * https://www.zaproxy.org/docs/desktop/addons/fuzzer/
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Curso Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web e-mail: reydes@gmail.com Sitio web: http://www.reydes.com
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Demostraciones
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Cursos Virtuales Disponibles en Video Curso Virtual de Hacking Ético http://www.reydes.com/d/?q=Curso_de_Hacking_Etico Curso Virtual de Hacking Aplicaciones Web http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web Curso Virtual de Informática Forense http://www.reydes.com/d/?q=Curso_de_Informatica_Forense Curso Virtual Hacking con Kali Linux http://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux Curso Virtual OSINT - Open Source Intelligence http://www.reydes.com/d/?q=Curso_de_OSINT Curso Virtual Forense de Redes http://www.reydes.com/d/?q=Curso_Forense_de_Redes Y todos los cursos virtuales: http://www.reydes.com/d/?q=cursos
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Más Contenidos Videos de 57 webinars gratuitos http://www.reydes.com/d/?q=videos Diapositivas de los webinars gratuitos http://www.reydes.com/d/?q=node/3 Artículos y documentos publicados http://www.reydes.com/d/?q=node/2 Blog sobre temas de mi interés. http://www.reydes.com/d/?q=blog/1
Alonso Eduardo Caballero Quezada Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com WebinarGratuito Mapear una Aplicación Web con Zed Attack Proxy Jueves 6 de Agosto del 2020

Empfohlen

Webinar Gratuito: Ncat para Pentesting
Webinar Gratuito: Ncat para PentestingWebinar Gratuito: Ncat para Pentesting
Webinar Gratuito: Ncat para Pentesting
Alonso Caballero
 
Webinar Gratuito: Atacar Contraseñas con Kali Linux
Webinar Gratuito: Atacar Contraseñas con Kali LinuxWebinar Gratuito: Atacar Contraseñas con Kali Linux
Webinar Gratuito: Atacar Contraseñas con Kali Linux
Alonso Caballero
 
Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHP
Nazareno Lorenzo
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
Alonso Caballero
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Alonso Caballero
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
Alonso Caballero
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
Alonso Caballero
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
Alonso Caballero
 

Empfohlen

Webinar Gratuito: Ncat para Pentesting
Webinar Gratuito: Ncat para PentestingWebinar Gratuito: Ncat para Pentesting
Webinar Gratuito: Ncat para Pentesting
Alonso Caballero
 
Webinar Gratuito: Atacar Contraseñas con Kali Linux
Webinar Gratuito: Atacar Contraseñas con Kali LinuxWebinar Gratuito: Atacar Contraseñas con Kali Linux
Webinar Gratuito: Atacar Contraseñas con Kali Linux
Alonso Caballero
 
Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHP
Nazareno Lorenzo
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
Alonso Caballero
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Alonso Caballero
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
Alonso Caballero
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
Alonso Caballero
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
Alonso Caballero
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012
iesgrancapitan.org
 
Webinar Gratuito: "Nikto para Pentesting"
Webinar Gratuito: "Nikto para Pentesting"Webinar Gratuito: "Nikto para Pentesting"
Webinar Gratuito: "Nikto para Pentesting"
Alonso Caballero
 
Webinar Gratuito: "OSINT para Pentesting"
Webinar Gratuito: "OSINT para Pentesting"Webinar Gratuito: "OSINT para Pentesting"
Webinar Gratuito: "OSINT para Pentesting"
Alonso Caballero
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
Homero de la Barra
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
It-servicios
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
Krls Avilez
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
Dani Adastra
 
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit FrameworkWebinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Alonso Caballero
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
Fernando Solis
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
Nextel S.A.
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
Pablo Garaizar
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Alonso Caballero
 
Webinar Gratuito: "Wireshark"
Webinar Gratuito: "Wireshark"Webinar Gratuito: "Wireshark"
Webinar Gratuito: "Wireshark"
Alonso Caballero
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Alonso Caballero
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
Alonso Caballero
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
Internet Security Auditors
 
Webinar Gratuito: "JavaScript para Hacking Web"
Webinar Gratuito: "JavaScript para Hacking Web"Webinar Gratuito: "JavaScript para Hacking Web"
Webinar Gratuito: "JavaScript para Hacking Web"
Alonso Caballero
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
Jose Manuel Ortega Candel
 
Webinar Gratuito: Metasploit Framework y el Firewall de Windows
Webinar Gratuito: Metasploit Framework y el Firewall de WindowsWebinar Gratuito: Metasploit Framework y el Firewall de Windows
Webinar Gratuito: Metasploit Framework y el Firewall de Windows
Alonso Caballero
 
Webinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebWebinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS Web
Alonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
Alonso Caballero
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking Web
Alonso Caballero
 

Weitere ähnliche Inhalte

Ähnlich wie Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy

Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
Alonso Caballero
 

Ähnlich wie Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy (20)

Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012
 
Webinar Gratuito: "Nikto para Pentesting"
Webinar Gratuito: "Nikto para Pentesting"Webinar Gratuito: "Nikto para Pentesting"
Webinar Gratuito: "Nikto para Pentesting"
 
Webinar Gratuito: "OSINT para Pentesting"
Webinar Gratuito: "OSINT para Pentesting"Webinar Gratuito: "OSINT para Pentesting"
Webinar Gratuito: "OSINT para Pentesting"
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
 
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit FrameworkWebinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
 
Webinar Gratuito: "Wireshark"
Webinar Gratuito: "Wireshark"Webinar Gratuito: "Wireshark"
Webinar Gratuito: "Wireshark"
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
 
Webinar Gratuito: "JavaScript para Hacking Web"
Webinar Gratuito: "JavaScript para Hacking Web"Webinar Gratuito: "JavaScript para Hacking Web"
Webinar Gratuito: "JavaScript para Hacking Web"
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
 
Webinar Gratuito: Metasploit Framework y el Firewall de Windows
Webinar Gratuito: Metasploit Framework y el Firewall de WindowsWebinar Gratuito: Metasploit Framework y el Firewall de Windows
Webinar Gratuito: Metasploit Framework y el Firewall de Windows
 
Webinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebWebinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS Web
 

Mehr von Alonso Caballero

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
Alonso Caballero
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking Web
Alonso Caballero
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking Ético
Alonso Caballero
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali Linux
Alonso Caballero
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática Forense
Alonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
Alonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
Alonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
Alonso Caballero
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022
Alonso Caballero
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022
Alonso Caballero
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022
Alonso Caballero
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
Alonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
Alonso Caballero
 

Mehr von Alonso Caballero (20)

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking Web
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking Ético
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali Linux
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática Forense
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con Autopsy
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de Comandos
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus Essentials
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Webinar Gratuito: Metasploit Framework
Webinar Gratuito: Metasploit FrameworkWebinar Gratuito: Metasploit Framework
Webinar Gratuito: Metasploit Framework
 

Kürzlich hochgeladen

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Kürzlich hochgeladen (10)

Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy

  • 1. Alonso Eduardo Caballero Quezada Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com Jueves 6 de Agosto del 2020 WebinarGratuito Mapear una Aplicación Web con Zed Attack Proxy
  • 2. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Presentación Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials Certificate, IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security Fundamentals, Phishing Countermeasures Pen Testing, Certificate Autopsy Basics and Hands On e ICSI Certified Network Security Specialist. Instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky Perú. Cuenta con más de 17 años de experiencia y desde hace 13 años labora como consultor e instructor independiente en las áreas de Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Forense Digital, GNU/Linux. https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero https://www.facebook.com/alonsoreydes/ http://www.reydes.com https://www.linkedin.com/in/alonsocaballeroquezada/ reydes@gmail.com
  • 3. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Mapear una Aplicación Web En una Prueba de Penetración existe una etapa de exploración, donde el profesional intenta conocer tanto como sea posible el sistema en evaluación. El mapeo implica conocer aquello lo cual constituye la aplicación, además de su entorno. Abarca diferentes elementos, los cuales se detallan a continuación: ● Enumerar el contenido y la funcionalidad de las aplicaciones ● Si algo está oculto, se requiere realizar un proceso para tratar de descubrirlo ● Examinar cada aspecto sobre el comportamiento, mecanismos de seguridad, y tecnologías ● Determinar la superficie de ataque y vulnerabilidades * https://www.zaproxy.org/getting-started/
  • 4. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Zed Attack Proxy ZAP es un herramienta libre y de fuente abierta para pruebas de penetración, la cual es mantenida bajo el proyecto OWASP. ZAP está específicamente diseñado para realizar pruebas contra aplicaciones web, siendo flexible y ampliable. En su núcleo, ZAP es aquello lo cual se conoce como un proxy “Hombre en el Medio”. Se sitúa entre el navegador del profesional en pruebas de penetración y la aplicación web, de tal manera puede interceptar e inspeccionar los mensajes enviados entre el navegador y la aplicación web, modificar el contenido si es necesario, para luego retransmitir los paquetes hacia su destino. Puede ser utilizado como una aplicación autónoma y como un proceso demonio. ZAP proporciona funcionalidades para un amplio rango de niveles en conocimientos; desde desarrolladores hasta profesionales nuevos en pruebas de seguridad, como también especialistas en el tema. * https://www.zaproxy.org
  • 5. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Spider Es utilizado para automáticamente descubrir nuevos recursos (URLs) en un sitio particular. Inicia con una lista de URLs a visitar llamadas semillas, lo cual depende de como el Spider inicia. Luego visita estas URLs, identifica todos los hipervínculos en la página, y luego los añade hacia la lista de URLs a visitar, luego el proceso continúa recursivamente conforme nuevos recursos se encuentren. El Spider puede ser configurado e iniciado utilizando ZAP. Durante el procesamiento de una URL, el Spider hace una petición para capturar el recurso, luego interpretar la respuesta identificando hipervínculos. Tiene diferentes comportamientos cuando procesa ciertos tipos de respuestas: ● HTML ● Archivos robots.txt ● Formato OData Atom ● Respuesta de texto No HTML ● Respuesta No texto * https://www.zaproxy.org/docs/desktop/start/features/spider/
  • 6. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Forced Browse (Navegación Forzada) Zed Attack Proxy intenta descubrir directorios y archivos utilizando una navegación forzada. Un conjunto de archivos son proporcionados, los cuales contienen un extenso número de potenciales nombres de directorios y archivos. ZAP intenta acceder directamente hacia todos los archivos y directorios listados en el archivo seleccionado, en lugar de encontrar los enlaces en estos. Esta funcionalidad se basa en el código del proyecto de nombre DirBuster de OWASP. * https://www.zaproxy.org/docs/desktop/addons/forced-browse/
  • 7. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Fuzzing El Fuzzing es una técnica para enviar una gran cantidad de datos inválidos o inesperados hacia algo. Zed Attack Proxy permite hacer fuzzing a cualquier petición utilizando: ● Un conjunto incorporado de Payloads ● Payloads definidos mediante add-ons opcionales ● Scripts personalizados Algunos temas adicionales importantes: ● Generadores de Payloads ● Procesadores de Payloads ● Procesadores de Ubicación de Payloads ● Procesadores de Mensajes * https://www.zaproxy.org/docs/desktop/addons/fuzzer/
  • 8. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Curso Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web e-mail: reydes@gmail.com Sitio web: http://www.reydes.com
  • 9. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Demostraciones
  • 10. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Cursos Virtuales Disponibles en Video Curso Virtual de Hacking Ético http://www.reydes.com/d/?q=Curso_de_Hacking_Etico Curso Virtual de Hacking Aplicaciones Web http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web Curso Virtual de Informática Forense http://www.reydes.com/d/?q=Curso_de_Informatica_Forense Curso Virtual Hacking con Kali Linux http://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux Curso Virtual OSINT - Open Source Intelligence http://www.reydes.com/d/?q=Curso_de_OSINT Curso Virtual Forense de Redes http://www.reydes.com/d/?q=Curso_Forense_de_Redes Y todos los cursos virtuales: http://www.reydes.com/d/?q=cursos
  • 11. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Más Contenidos Videos de 57 webinars gratuitos http://www.reydes.com/d/?q=videos Diapositivas de los webinars gratuitos http://www.reydes.com/d/?q=node/3 Artículos y documentos publicados http://www.reydes.com/d/?q=node/2 Blog sobre temas de mi interés. http://www.reydes.com/d/?q=blog/1
  • 12. Alonso Eduardo Caballero Quezada Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com WebinarGratuito Mapear una Aplicación Web con Zed Attack Proxy Jueves 6 de Agosto del 2020