SlideShare uma empresa Scribd logo

Webinar Gratuito: "Zed Attack Proxy"

Alonso Caballero
Alonso Caballero

Este documento presenta un webinar gratuito sobre la herramienta OWASP Zed Attack Proxy (ZAP) para realizar pruebas de penetración en aplicaciones web. ZAP permite escanear automáticamente y manualmente para encontrar vulnerabilidades. El webinar será dictado por Alonso Eduardo Caballero Quezada, consultor experto en hacking ético, informática forense y GNU/Linux.

Tecnologia
1 de 12
Baixar para ler offline
OWASP Zed Attack Proxy Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 5 de Mayo del 2016
Presentación Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPI Linux Essentials Certificate, Brainbench Certified Network Security (Master), Computer Forensics (U.S.) & Linux Administration (General), IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling y Digital Forensics. Ha sido Instructor en el OWASP LATAM Tour Lima, Perú del año 2014, y Conferencista en PERUHACK 2014. Cuenta con más de doce años de experiencia en el área y desde hace ocho años labora como Consultor e Instructor Independiente en las áreas de Hacking Ético & Informática Forense. Perteneció por muchos años al grupo internacional de Seguridad RareGaZz y al Grupo Peruano de Seguridad PeruSEC. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Informática Forense, GNU/Linux y Software Libre. @Alonso_ReYDeS www.facebook.com/alonsoreydes pe.linkedin.com/in/alonsocaballeroquezada/
OWASP Zed Attack Proxy OWASP Zed Attack Proxy (ZAP) es un herramienta integrada para realizar pruebas de penetración, la cual permite encontrar vulnerabilidades en las aplicaciones web. Está diseñada para ser utilizada por personas con un amplio espectro de experiencia en seguridad, siendo también ideal para desarrolladores y personas quienes realizan pruebas funcionales y son nuevos en los temas de pruebas de penetración. ZAP proporciona escaners automáticos como también un conjunto de herramientas para encontrar vulnerabilidades en seguridad de manera manual. Entre las características más resaltantes de ZAP se enumeran; es Open Source, Multiplataforma, fácil de instalar, completamente libre, facilidad de uso, páginas ayuda completas, traducido a 20 lenguajes, basado en la comunidad y que está e desarrollo activo. * ZAP - https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Características de ZAP ● Proxy de Interceptación. ● Escaner Automático ● Escaner Pasivo ● Navegación Forzada ● Fuzzer ● Certificados SSL Dinámicos ● Soporte para “Web Sockets” ● Soporte para un amplio rango de lenguajes de scripting ● Soporte Plug-n-Hack * https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project#tab=Functionality
Proxy de Interceptación ZAP es un proxy de interceptación. El cual permite observar todas las solicitudes realizadas hacia la aplicación web y todas las respuestas recibidas desde esta. Se pueden definir además “Break Points”, los cuales permiten cambiar las solicitudes y respuestas al vuelo. Break Points Permiten interceptar una solicitud desde el navegador y cambiarlo antes de ser enviado hacia la aplicación en evaluación. También se pueden cambiar las respuestas recibidas desde la aplicación. La solicitud o respuesta será mostrada en la pestaña “Break”, la cual permite cambiar campos ocultos o deshabilitados, permitiendo evitar o sobrepasar validaciones en el lado del cliente. La cual es una técnica esencial en las pruebas de penetración. * http://code.google.com/p/zaproxy/wiki/HelpStartConceptsIntercept * http://code.google.com/p/zaproxy/wiki/HelpStartConceptsBreakpoints
Prueba de Penetración Básica Explorar Usar el navegador para explorar todas las funcionalidades proporcionadas por la aplicación web. Seguir los enlaces, presionar todos los botones, además de completar y enviar todos los formularios. Si las aplicaciones soportan varios roles, además se debe hacer esto con cada rol. Para cada rol se debe guardar una sesión diferente de ZAP en un archivo e iniciar una nueva sesión antes de de empezar a utilizar el siguiente rol. Spider Utilizar una “Araña” para encontrar URLs perdidas u ocultas. También se puede utilizar una “Araña AJAX” para mejorar los resultados y capturar los enlaces construidos de manera dinámica. Y explorar cualquier enlace encontrado. * http://code.google.com/p/zaproxy/wiki/HelpPentestPentest
Prueba de Penetración Básica Navegación Forzada Utilizar el escaner de navegación forzada para encontrar archivos y directorios sin ninguna referencia. Escaneo Activo Utilizar el escaner activo para encontrar vulnerabilidades sencillas. Prueba Manual Las anteriores pruebas pueden encontrar vulnerabilidades sencillas. Sin embargo, para encontrar más vulnerabilidades se hace necesario evaluar manualmente la aplicación web. Se puede utilizar para este propósito la Guía de Pruebas de OWASP. * http://code.google.com/p/zaproxy/wiki/HelpPentestPentest * https://www.owasp.org/index.php/OWASP_Testing_Project
Demostraciones .
Curso Virtual de Hacking Aplicaciones Web Más Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web E-mail: caballero.alonso@gmail.com / Sitio Web: http://www.reydes.com
Cursos Virtuales Todos los Cursos Virtuales dictados están disponibles en Video. Curso Virtual de Hacking Ético http://www.reydes.com/d/?q=Curso_de_Hacking_Etico Curso Virtual de Hacking Aplicaciones Web http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web Curso Virtual de Informática Forense http://www.reydes.com/d/?q=Curso_de_Informatica_Forense
Más Contenidos Videos de 30 Webinars Gratuitos sobre temas de Hacking Ético, Hacking Aplicaciones Web e Informática Forense. http://www.reydes.com/d/?q=videos Diapositivas utilizadas en los Webinars Gratuitos. http://www.reydes.com/d/?q=node/3 Artículos y documentos publicados http://www.reydes.com/d/?q=node/2 Mi Blog sobre temas de mi interés. http://www.reydes.com/d/?q=blog/1
OWASP Zed Attack Proxy Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 5 de Mayo del 2016

Recomendados

Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
Alonso Caballero
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
Alonso Caballero
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vega
Tensor
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
zekivazquez
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
Jose Manuel Ortega Candel
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
Jose Manuel Ortega Candel
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
OWASP
OWASPOWASP
OWASP
Conferencias FIST
 

Recomendados

Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
Alonso Caballero
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
Alonso Caballero
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vega
Tensor
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
zekivazquez
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
Jose Manuel Ortega Candel
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
Jose Manuel Ortega Candel
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
OWASP
OWASPOWASP
OWASP
Conferencias FIST
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
Camilo Fernandez
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017
yopablo
 
Herramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgosHerramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgos
Daniel Gorria
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"
Alonso Caballero
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
Santiago Rodríguez Paniagua
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASP
zekivazquez
 
Seguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.xSeguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.x
Fernando Redondo Ramírez
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
Nextel S.A.
 
áReas naturales protegidas
áReas naturales protegidasáReas naturales protegidas
áReas naturales protegidas
Perla Lopez Xool
 
Diplomarbeit Nicoletti 2005
Diplomarbeit Nicoletti 2005Diplomarbeit Nicoletti 2005
Diplomarbeit Nicoletti 2005
michele Nicoletti
 
Ley núm. 79
Ley núm. 79Ley núm. 79
Ley núm. 79
valicot
 
Using statements
Using statements Using statements
Using statements
ksimon5
 
Amjed CV
Amjed CVAmjed CV
Amjed CV
Amjed Ali
 
Presentacion power p
Presentacion power pPresentacion power p
Presentacion power p
ednis18
 
Presentacion power p
Presentacion power pPresentacion power p
Presentacion power p
ednis18
 
Tutorial bubbl.us
Tutorial bubbl.us Tutorial bubbl.us
Tutorial bubbl.us
valicot
 
Work Experience Skills
Work Experience SkillsWork Experience Skills
Work Experience Skills
Jasim Mohamed Al hosani
 
Diplomarbeit: Generische und dynamische Hypertexte (2001)
Diplomarbeit: Generische und dynamische Hypertexte (2001)Diplomarbeit: Generische und dynamische Hypertexte (2001)
Diplomarbeit: Generische und dynamische Hypertexte (2001)
Arno Huetter
 
Cloudy with a Chance of Performance (NZ Tech Day - Presentation 6)
Cloudy with a Chance of Performance (NZ Tech Day - Presentation 6)Cloudy with a Chance of Performance (NZ Tech Day - Presentation 6)
Cloudy with a Chance of Performance (NZ Tech Day - Presentation 6)
planittesting
 
Beginners' Guide to WordPress
Beginners' Guide to WordPressBeginners' Guide to WordPress
Beginners' Guide to WordPress
Shannon Smith
 
Resume
ResumeResume
Resume
Linu Abdulsalam
 
Languagelab 29.4 - Master Analytical Thinking
Languagelab 29.4 - Master Analytical ThinkingLanguagelab 29.4 - Master Analytical Thinking
Languagelab 29.4 - Master Analytical Thinking
Designlab Innovation
 

Mais conteúdo relacionado

Mais procurados

Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"
Alonso Caballero
 
Seguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.xSeguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.x
Fernando Redondo Ramírez
 

Mais procurados (8)

Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017
 
Herramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgosHerramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgos
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASP
 
Seguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.xSeguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.x
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
 

Destaque

Cloudy with a Chance of Performance (NZ Tech Day - Presentation 6)
Cloudy with a Chance of Performance (NZ Tech Day - Presentation 6)Cloudy with a Chance of Performance (NZ Tech Day - Presentation 6)
Cloudy with a Chance of Performance (NZ Tech Day - Presentation 6)
planittesting
 

Destaque (20)

áReas naturales protegidas
áReas naturales protegidasáReas naturales protegidas
áReas naturales protegidas
 
Diplomarbeit Nicoletti 2005
Diplomarbeit Nicoletti 2005Diplomarbeit Nicoletti 2005
Diplomarbeit Nicoletti 2005
 
Ley núm. 79
Ley núm. 79Ley núm. 79
Ley núm. 79
 
Using statements
Using statements Using statements
Using statements
 
Amjed CV
Amjed CVAmjed CV
Amjed CV
 
Presentacion power p
Presentacion power pPresentacion power p
Presentacion power p
 
Presentacion power p
Presentacion power pPresentacion power p
Presentacion power p
 
Tutorial bubbl.us
Tutorial bubbl.us Tutorial bubbl.us
Tutorial bubbl.us
 
Work Experience Skills
Work Experience SkillsWork Experience Skills
Work Experience Skills
 
Diplomarbeit: Generische und dynamische Hypertexte (2001)
Diplomarbeit: Generische und dynamische Hypertexte (2001)Diplomarbeit: Generische und dynamische Hypertexte (2001)
Diplomarbeit: Generische und dynamische Hypertexte (2001)
 
Cloudy with a Chance of Performance (NZ Tech Day - Presentation 6)
Cloudy with a Chance of Performance (NZ Tech Day - Presentation 6)Cloudy with a Chance of Performance (NZ Tech Day - Presentation 6)
Cloudy with a Chance of Performance (NZ Tech Day - Presentation 6)
 
Beginners' Guide to WordPress
Beginners' Guide to WordPressBeginners' Guide to WordPress
Beginners' Guide to WordPress
 
Resume
ResumeResume
Resume
 
Languagelab 29.4 - Master Analytical Thinking
Languagelab 29.4 - Master Analytical ThinkingLanguagelab 29.4 - Master Analytical Thinking
Languagelab 29.4 - Master Analytical Thinking
 
Presentación san martín
Presentación san martínPresentación san martín
Presentación san martín
 
Alert logic anatomy owasp infographic
Alert logic anatomy owasp infographicAlert logic anatomy owasp infographic
Alert logic anatomy owasp infographic
 
2010-11 The Anatomy of a Web Attack
2010-11 The Anatomy of a Web Attack 2010-11 The Anatomy of a Web Attack
2010-11 The Anatomy of a Web Attack
 
Anatomy of an Attack
Anatomy of an AttackAnatomy of an Attack
Anatomy of an Attack
 
Web Application Vulnerabilities
Web Application VulnerabilitiesWeb Application Vulnerabilities
Web Application Vulnerabilities
 
Ddos dos
Ddos dosDdos dos
Ddos dos
 

Semelhante a Webinar Gratuito: "Zed Attack Proxy"

Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
Alonso Caballero
 
Review OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúReview OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP Perú
John Vargas
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
Alonso Caballero
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"
Alonso Caballero
 
Bypassing waf advanced
Bypassing waf advancedBypassing waf advanced
Bypassing waf advanced
limahack
 
Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"
Alonso Caballero
 

Semelhante a Webinar Gratuito: "Zed Attack Proxy" (20)

Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
 
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack ProxyWebinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de Owasp
 
Webinar Gratuito: "Construir Paquetes con Scapy"
Webinar Gratuito: "Construir Paquetes con Scapy"Webinar Gratuito: "Construir Paquetes con Scapy"
Webinar Gratuito: "Construir Paquetes con Scapy"
 
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAPHerramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxy
 
Webinar Gratuito: OpenVAS
Webinar Gratuito: OpenVASWebinar Gratuito: OpenVAS
Webinar Gratuito: OpenVAS
 
Review OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúReview OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP Perú
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASP
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
 
Webinar Gratuito: Metasploit Framework
Webinar Gratuito: Metasploit FrameworkWebinar Gratuito: Metasploit Framework
Webinar Gratuito: Metasploit Framework
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
 
Bypassing waf advanced
Bypassing waf advancedBypassing waf advanced
Bypassing waf advanced
 
Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"
 

Mais de Alonso Caballero

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
Alonso Caballero
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking Web
Alonso Caballero
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking Ético
Alonso Caballero
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali Linux
Alonso Caballero
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática Forense
Alonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
Alonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
Alonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
Alonso Caballero
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022
Alonso Caballero
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022
Alonso Caballero
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022
Alonso Caballero
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
Alonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
Alonso Caballero
 

Mais de Alonso Caballero (20)

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking Web
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking Ético
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali Linux
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática Forense
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con Autopsy
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de Comandos
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus Essentials
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 

Último

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 

Último (15)

presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 

Webinar Gratuito: "Zed Attack Proxy"

  • 1. OWASP Zed Attack Proxy Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 5 de Mayo del 2016
  • 2. Presentación Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPI Linux Essentials Certificate, Brainbench Certified Network Security (Master), Computer Forensics (U.S.) & Linux Administration (General), IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling y Digital Forensics. Ha sido Instructor en el OWASP LATAM Tour Lima, Perú del año 2014, y Conferencista en PERUHACK 2014. Cuenta con más de doce años de experiencia en el área y desde hace ocho años labora como Consultor e Instructor Independiente en las áreas de Hacking Ético & Informática Forense. Perteneció por muchos años al grupo internacional de Seguridad RareGaZz y al Grupo Peruano de Seguridad PeruSEC. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Informática Forense, GNU/Linux y Software Libre. @Alonso_ReYDeS www.facebook.com/alonsoreydes pe.linkedin.com/in/alonsocaballeroquezada/
  • 3. OWASP Zed Attack Proxy OWASP Zed Attack Proxy (ZAP) es un herramienta integrada para realizar pruebas de penetración, la cual permite encontrar vulnerabilidades en las aplicaciones web. Está diseñada para ser utilizada por personas con un amplio espectro de experiencia en seguridad, siendo también ideal para desarrolladores y personas quienes realizan pruebas funcionales y son nuevos en los temas de pruebas de penetración. ZAP proporciona escaners automáticos como también un conjunto de herramientas para encontrar vulnerabilidades en seguridad de manera manual. Entre las características más resaltantes de ZAP se enumeran; es Open Source, Multiplataforma, fácil de instalar, completamente libre, facilidad de uso, páginas ayuda completas, traducido a 20 lenguajes, basado en la comunidad y que está e desarrollo activo. * ZAP - https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
  • 4. Características de ZAP ● Proxy de Interceptación. ● Escaner Automático ● Escaner Pasivo ● Navegación Forzada ● Fuzzer ● Certificados SSL Dinámicos ● Soporte para “Web Sockets” ● Soporte para un amplio rango de lenguajes de scripting ● Soporte Plug-n-Hack * https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project#tab=Functionality
  • 5. Proxy de Interceptación ZAP es un proxy de interceptación. El cual permite observar todas las solicitudes realizadas hacia la aplicación web y todas las respuestas recibidas desde esta. Se pueden definir además “Break Points”, los cuales permiten cambiar las solicitudes y respuestas al vuelo. Break Points Permiten interceptar una solicitud desde el navegador y cambiarlo antes de ser enviado hacia la aplicación en evaluación. También se pueden cambiar las respuestas recibidas desde la aplicación. La solicitud o respuesta será mostrada en la pestaña “Break”, la cual permite cambiar campos ocultos o deshabilitados, permitiendo evitar o sobrepasar validaciones en el lado del cliente. La cual es una técnica esencial en las pruebas de penetración. * http://code.google.com/p/zaproxy/wiki/HelpStartConceptsIntercept * http://code.google.com/p/zaproxy/wiki/HelpStartConceptsBreakpoints
  • 6. Prueba de Penetración Básica Explorar Usar el navegador para explorar todas las funcionalidades proporcionadas por la aplicación web. Seguir los enlaces, presionar todos los botones, además de completar y enviar todos los formularios. Si las aplicaciones soportan varios roles, además se debe hacer esto con cada rol. Para cada rol se debe guardar una sesión diferente de ZAP en un archivo e iniciar una nueva sesión antes de de empezar a utilizar el siguiente rol. Spider Utilizar una “Araña” para encontrar URLs perdidas u ocultas. También se puede utilizar una “Araña AJAX” para mejorar los resultados y capturar los enlaces construidos de manera dinámica. Y explorar cualquier enlace encontrado. * http://code.google.com/p/zaproxy/wiki/HelpPentestPentest
  • 7. Prueba de Penetración Básica Navegación Forzada Utilizar el escaner de navegación forzada para encontrar archivos y directorios sin ninguna referencia. Escaneo Activo Utilizar el escaner activo para encontrar vulnerabilidades sencillas. Prueba Manual Las anteriores pruebas pueden encontrar vulnerabilidades sencillas. Sin embargo, para encontrar más vulnerabilidades se hace necesario evaluar manualmente la aplicación web. Se puede utilizar para este propósito la Guía de Pruebas de OWASP. * http://code.google.com/p/zaproxy/wiki/HelpPentestPentest * https://www.owasp.org/index.php/OWASP_Testing_Project
  • 9. Curso Virtual de Hacking Aplicaciones Web Más Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web E-mail: caballero.alonso@gmail.com / Sitio Web: http://www.reydes.com
  • 10. Cursos Virtuales Todos los Cursos Virtuales dictados están disponibles en Video. Curso Virtual de Hacking Ético http://www.reydes.com/d/?q=Curso_de_Hacking_Etico Curso Virtual de Hacking Aplicaciones Web http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web Curso Virtual de Informática Forense http://www.reydes.com/d/?q=Curso_de_Informatica_Forense
  • 11. Más Contenidos Videos de 30 Webinars Gratuitos sobre temas de Hacking Ético, Hacking Aplicaciones Web e Informática Forense. http://www.reydes.com/d/?q=videos Diapositivas utilizadas en los Webinars Gratuitos. http://www.reydes.com/d/?q=node/3 Artículos y documentos publicados http://www.reydes.com/d/?q=node/2 Mi Blog sobre temas de mi interés. http://www.reydes.com/d/?q=blog/1
  • 12. OWASP Zed Attack Proxy Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 5 de Mayo del 2016