23 de janeiro de 2017

Teste de Invasão em Redes e Aplicações WEB

Descrição:
Esse treinamento é a união de dois treinamentos em um só: Teste de Invasão em Redes e Teste de Invasão em Aplicações WEB. A ideia surgiu da necessidade de criar um curso mais completo, unificado, e que fosse possível dar prosseguimento sem quebrar o ritmo.

O treinamento completo terá 60h de duração, totalmente prático, com execução de técnicas básicas à avançadas, chegando a criação de um exploit do zero, para exploração remota de um servidor para execução de um shellcode escolhido.

O aluno terá à sua disposição máquinas virtuais locais e na nuvem para execução dos exercícios, ao vivo, seguindo a tela compartilhada do instrutor, durante a aula.

Instrutor:
O instrutor do curso possui anos de experiência em testes de invasão, tanto em redes, quanto aplicações web, redes wireless e review code. E é uma oportunidade de aprender com quem convive com as necessidades e situações reais do mercado atual, com clientes de grande porte como multinacionais de diversas áreas (Petróleo e Gás, Telecomunicações, Transportes, Operadoras de Cartão de Crédito, Bancos, Instituições Militares e Órgãos Públicos).

Quem deve participar:
  • Profissionais de TI, que tenham interesse na área de segurança;
  • Profissionais de segurança que tenham interesse em teste de invasão (pentesters, peritos forenses e etc);
  • Desenvolvedores que queiram aprender como funcionam as vulnerabilidades e como mitigá-las.


Pré-requisitos:
  • Conhecimento básico de Windows
  • Conhecimento básico de Linux
  • Criação de máquinas virtuais com VirtualBox ou VMWare


Material:
  • Slides em pdf
  • Apostila
  • Vídeo de todas as aulas gravadas ao longo do treinamento
  • Máquinas Virtuais específicas


Carga horária: 60h
Início: 17 de Abril de 2017 (nova data)
Horário: segundas e terças-feiras, das 22h às 24h
Investimento: R$ 1.490,00

Inscrição: Quem tiver interesse no curso, por favor, acesse o link http://bit.ly/ZkbwEE e faça sua inscrição no curso "Teste de Invasão em Redes e Aplicações WEB". Para pagamentos via PagSeguro, Paypal ou BCash, após preencher o formulário, aguarde o e-mail com o link de cobrança.

Observação 1: para pagamentos via depósito em conta, com 5% de desconto, entre em contato com luizwt at gmail.com.

Observação 2: desconto de 10% para ex-alunos via Paypal ou BCash, ou 20% via depósito em conta.

Ementa completa:
  • Introdução à Segurança da Informação
  • Introdução ao Teste de Invasão e Ética Hacker
  • Escrita de Relatório
  • Google Hacking
  • Varreduras ativas, passivas e furtivas de rede
  • Enumeração de informações e serviços
  • Definindo vetores de ataque
  • Ignorando Proteções
  • Técnicas de Força Bruta
  • Elevação de Privilégios Locais
  • Testando o sistema
  • Técnicas de Sniffing
  • Ataques a Servidores WEB
  • Ataques a Redes Sem Fio
  • Fuzzing & Exploits de Buffer Overflow
  • Apagando Rastros
  • Metasploit Framework
  • WarGames
  • Ciclo de Desenvolvimento de Software Seguro
  • OWASP
  • Arquiteturas e tecnologias de Aplicações WEB
  • Cifras Simétricas
  • Cifras Assimétricas
  • Funções de hash criptográficas
  • Assinaturas Digitais
  • Certificados Digitais
  • Protocolos SSL e TLS
  • Protocolos HTTP e HTTPS
  • Requisição HTTP
  • Autenticação HTTP
  • Esquemas de Codificação
  • Codificação de URL
  • Codificação HTML
  • Ferramentas Básicas para pentest WEB
  • Navegadores WEB
  • Proxies de interceptação
  • Web spiders
  • Fuzzers
  • Levantamento dos métodos suportados
  • Mapeamento
  • Identificação dos pontos de entrada de informação
  • Exploração de Controles Client-Side
  • Detecção de hosts virtuais
  • Descoberta de arquivos e diretórios
  • Cópia das páginas e recursos da aplicação
  • Identificação dos pontos de entrada de informação
  • Descoberta de vulnerabilidades e exploração
  • Evasão de restrições em campos HTML
  • Evasão de validação de Javascript
  • Exploração de campo oculto
  • Teste de Mecanismos de Autenticação
  • Tecnologias de autenticação empregadas em aplicações web
  • Descoberta de vulnerabilidade e exploração
  • Uso de informações obtidas nas fases de reconhecimento e mapeamento
  • Usuário e senha padronizados
  • Enumeração de identificadores de usuários
  • Mecanismo vulnerável de recuperação de senhas
  • Funcionalidade "Lembrar usuário"
  • Transporte inseguro de credenciais de acesso
  • Mecanismo vulnerável de troca de senhas
  • Autenticação com múltiplos fatores
  • Avaliação dos aspectos de autenticação
  • Arquivos contendo credenciais de acesso
  • Pistas no código
  • Teste de Gerenciamento de Sessões
  • Descoberta de vulnerabilidades e exploração
  • Identificares de sessão previsíveis
  • Domínio de identificadores com baixa cardinalidade
  • Transmissão em claro de identificadores de sessão
  • Manipulação de identificador de sessão por meio de scripts
  • Atributos de cookies
  • Sequestro de sessão
  • Session Fixation
  • Encerramento vulnerável de sessão
  • Sessões simultâneas de um mesmo usuário
  • Cross-site request Forgery
  • Clickjacking
  • OWASP Top 10 
  • Resumo de cada Vulnerabilidade
  • Explorações e Desafios práticos de cada vulnerabilidade do OWASP Top 10
  • Defesa