CAST 613: Hacking and Hardening your own Corporate Web App/Web Site

cast-613-lockEste curso esta diseñado para involucrar mas del 50% de laboratorios de codificación, por lo que el participante debe tener un alto perfil en lo que a desarrollo de aplicaciones se refiere.

"La mayoría de los desarrolladores no tienen un enfoque real en la seguridad, por lo que la consideran una limitante para su parte creativa. Sin embargo, cuando es posible hacer que penetren la mente del hacker y piensen como uno de ellos, el cambio será automático y comenzarán a pensar en construir códigos mas seguros".

Esta es la perspectiva desde la cual el autor desarrolló este curso. Por lo tanto, el objetivo principal es dar a los desarrolladores el poder de hacer las mismas cosas que son hechas a sus aplicaciones o sitios web por agentes externos (o hackers) tratando de entrar a ellas por distintos fines maliciosos.

Adicionalmente, aprenderán a aplicar los conocimientos adquiridos para evitar que un intruso/hacker se aproveche de algún error en el desarrollo de las aplicaciones y a implementar los esquemas criptográficos adecuados acordes al tipo de información que quiera proteger.

Contenido del Programa

Unidad 1: Advanced Fuzzing Technology

  • Making the application "hiccup"

Unidad 2: Programming to defend against attacking from the outside. (Over the Web)

  • XSS on Steroids-HOL
  • XSRF-The newest Dangers-HOL
  • Click Jacking-HOL
  • Filter, Filter, Filter-HOL
  • Learn New Techniques for Sanitizing input that actually work!

Unidad 3: Programming to defend against Attacking from the Inside-Binary (Where the attacker resides or has control of an internal machine)

  • Bypassing Antivirus
  • Packing Binaries
  • Crypting Binaries

Unidad 4: Programming to defend against attacking from the same LAN, vLan or Network Segment

I.Arp Cache Poison
II.DNS Poison and Redirection techniques
III.RouteTable Poisoning

  • Programming techniques to defend against MiTM attacksof all kinds
  • MITM TECHNIQUES
  • Quick Overview of Popular TOOLS
  • Programmers RISK SHEET Checklist!

Unidad 5: Programming to defend against Cryptographic Errors

  • SSL-The ugly truth. How it can help and hurt you and how to properly use Libraries to ensure your protected
  • Don't let the User make Security Decisions

Unidad 6: SQL (DataBase RootKits)

  • Ask the Datábase a question (Query)
  • But receive back what the attacker wants you to receive back

 Unidad 7: Appendix-Handy Definitions and Examples Checklist with examples for programmers for each attack and weakness.

Most known web attacks: Abuse of functionality, OS Commanding, Brute Force, Path Traversal, Buffer Overflow, Predictable Resource Location, Credential/Session Prediction, Remote File Inclusión (RFI), Cross-Site Scrpting, Routing Detour, Cross-site Request Forgery, Session Fixation, Denial of Service, SOAP Array Abuse, Figerprinting, SSI Injection, Formal String, SQL Injection, HTTP Response Smuggling, URL Redirector Abuse, HTTP Response Splitting, XPath Injection, HTTP Request Smuggling, XML Attribute Blow up, HTTP Request Splitting, XML External Entities, Integer Overflows, XML Entity Expansión, LDAP Injection, XML Injection, Mail Command Injection, XQuery Injection, Nuil Byte injection.

Unidad 8: Most Popular Weaknesses

Application Misconfiguration: Directory Indexing, Improper File system Permissions, Improper Input Handling, Improper Output Handling, Information Leakage, Insecure Indexing, Insufficient Anti-automation, Insufficient Authentication, Insufficient Authorization, Insufficient Password Recovery, Insufficient Process Validation, Insufficient Session Expiration, Insufficient Transport Layer Protection, Server Misconfiguration