Buscar en este sitio
Labs y Trainers‎ > ‎

Chema Alonso y Daniel Romero - Pentesting Web Applications

Sobre el ponente: Chema Alonso 

Chema Alonso es Ingeniero Informático por la Universidad Rey Juan Carlos de Madrid dónde está terminando su tesis doctoral sobre seguridad en aplicaciones Web. Ha sido premiado con el título de Most Valuable Professional por Microsoft en el área de seguridad Informática desde el año 2004, distinción que a día de hoy, sólo tres personas tienen en España. Es escritor habitual en revistas tecnológicas sobre seguridad informática y ponente en conferencias nacionales como la Gira de Seguridad de Microsoft, Masters, el Technet Security Day o el Asegúr@IT además de participar en conferencias internacionales como Blackhat, Defcon, ToorCon o ShmooCon entre otras. Trabaja como consultor de seguridad en Informática 64 y escribe un blog sobre seguridad informática titulado "Un Informático en el lado del mal".

Sobre el ponente: Daniel Romero Pérez

Consultor de Sistemas y Seguridad. Responsable y Coordinador del Departamento de Seguridad Web en Informática64. Ingeniero de Telecomunicaciones por la Universidad Politécnica de Catalunya y especializado en el área de Seguridad Informática tras la finalización del Máster en Seguridad de las TIC por la Universidad Europea de Madrid. Ha intervenido y coordinado proyectos de auditorías de seguridad internas y externas en Redes y Sistemas, proyectos de Auditoría de Seguridad en portales Web, proyectos de análisis forense y otros. 

Participa activamente como ponente en campañas técnicas y actividades de difusión del conocimiento asociadas a la seguridad informática. Colabora regularmente en blogs especializados, así como en la generación de artículos y publicaciones en el ámbito de la seguridad.

Fechas
  • Miércoles, 29 de Febrero 2012
Localización
  • Por determinar
Descripción
Esta sesión de formación va dedicada a pentesters que quieran conocer en profundidad todas las técnicas de inyección de código en aplicaciones web. Esta sesión es netamente práctica y estará centrada en tres tecnologías: Bases de datos relaciones, sistemas de directorio y bases de datos XML. 

Objetivos

Conocer y probar en profundidad las técnicas de SQL Injection, LDAP Injection, XPath Injection y Connection String Injection

Temario

  • Técnicas de Fuzzing
  • Sacándole partido al Cross-Site Scripting
  • Local/Remote File Inclusion
  • RFD (Remote File Downloading)
  • SQL Injection
    • Manipulación de recordset 
    • Serialized SQL Injection
    • Basado en errores ODBC 
    • Blind SQL Injection 
  • SQL Injection avanzado
    • Funciones externas
    • Evasión de filtros
  • Connection String Parameter Pollution 
  • Otras inyecciones
    • Time-based Blind SQL Injection 
    • Arithmetic Blind SQL Injection 
    • (Blind) LDAP Injection 
    • (Blind) Xpath Injection 
  • Post Explotación
    • WebShells
    • Elevación de privilegios
    • Infección del portal web
    • Post-Windows 
    • Post-Linux
  • Denegaciones de servicio en capa 7