Teste de Invasão em Redes e Aplicações WEB

Descrição:

Esse treinamento é a união de dois treinamentos em um só: Teste de Invasão em Redes e Teste de Invasão em Aplicações WEB. A ideia surgiu da necessidade de criar um curso mais completo, unificado, e que fosse possível dar prosseguimento sem quebrar o ritmo.

O treinamento completo terá 60h de duração, totalmente prático, com execução de técnicas básicas à avançadas, chegando a criação de um exploit do zero, para exploração remota de um servidor para execução de um shellcode escolhido.

O aluno terá à sua disposição máquinas virtuais locais e na nuvem para execução dos exercícios, ao vivo, seguindo a tela compartilhada do instrutor, durante a aula.

Instrutor:

O instrutor do curso possui anos de experiência em testes de invasão, tanto em redes, quanto aplicações web, redes wireless e review code. E é uma oportunidade de aprender com quem convive com as necessidades e situações reais do mercado atual, com clientes de grande porte como multinacionais de diversas áreas (Petróleo e Gás, Telecomunicações, Transportes, Operadoras de Cartão de Crédito, Bancos, Instituições Militares e Órgãos Públicos).

Quem deve participar:

• Profissionais de TI, que tenham interesse na área de segurança;
• Profissionais de segurança que tenham interesse em teste de invasão (pentesters, peritos forenses e etc);
• Desenvolvedores que queiram aprender como funcionam as vulnerabilidades e como mitigá-las.

Pré-requisitos:

• Conhecimento básico de Windows
• Conhecimento básico de Linux
• Criação de máquinas virtuais com VirtualBox ou VMWare

Material:

• Slides em pdf
• Apostila
• Vídeo de todas as aulas gravadas ao longo do treinamento
• Máquinas Virtuais específicas

Carga horária: 60h

Início: 17 de Abril de 2017 (nova data)

Horário: segundas e terças-feiras, das 22h às 24h

Investimento: R$ 1.490,00

Inscrição: Quem tiver interesse no curso, por favor, acesse o link http://bit.ly/ZkbwEE e faça sua inscrição no curso "Teste de Invasão em Redes e Aplicações WEB". Para pagamentos via PagSeguro, Paypal ou BCash, após preencher o formulário, aguarde o e-mail com o link de cobrança.

Observação 1: para pagamentos via depósito em conta, com 5% de desconto, entre em contato com luizwt at gmail.com.

Observação 2: desconto de 10% para ex-alunos via Paypal ou BCash, ou 20% via depósito em conta.

Ementa completa:

• Introdução à Segurança da Informação
• Introdução ao Teste de Invasão e Ética Hacker
• Escrita de Relatório
• Google Hacking
• Varreduras ativas, passivas e furtivas de rede
• Enumeração de informações e serviços
• Definindo vetores de ataque
• Ignorando Proteções
• Técnicas de Força Bruta
• Elevação de Privilégios Locais
• Testando o sistema
• Técnicas de Sniffing
• Ataques a Servidores WEB
• Ataques a Redes Sem Fio
• Fuzzing & Exploits de Buffer Overflow
• Apagando Rastros
• Metasploit Framework
• WarGames
• Ciclo de Desenvolvimento de Software Seguro
• OWASP
• Arquiteturas e tecnologias de Aplicações WEB
• Cifras Simétricas
• Cifras Assimétricas
• Funções de hash criptográficas
• Assinaturas Digitais
• Certificados Digitais
• Protocolos SSL e TLS
• Protocolos HTTP e HTTPS
• Requisição HTTP
• Autenticação HTTP
• Esquemas de Codificação
• Codificação de URL
• Codificação HTML
• Ferramentas Básicas para pentest WEB
• Navegadores WEB
• Proxies de interceptação
• Web spiders
• Fuzzers
• Levantamento dos métodos suportados
• Mapeamento
• Identificação dos pontos de entrada de informação
• Exploração de Controles Client-Side
• Detecção de hosts virtuais
• Descoberta de arquivos e diretórios
• Cópia das páginas e recursos da aplicação
• Identificação dos pontos de entrada de informação
• Descoberta de vulnerabilidades e exploração
• Evasão de restrições em campos HTML
• Evasão de validação de Javascript
• Exploração de campo oculto
• Teste de Mecanismos de Autenticação
• Tecnologias de autenticação empregadas em aplicações web
• Descoberta de vulnerabilidade e exploração
• Uso de informações obtidas nas fases de reconhecimento e mapeamento
• Usuário e senha padronizados
• Enumeração de identificadores de usuários
• Mecanismo vulnerável de recuperação de senhas
• Funcionalidade "Lembrar usuário"
• Transporte inseguro de credenciais de acesso
• Mecanismo vulnerável de troca de senhas
• Autenticação com múltiplos fatores
• Avaliação dos aspectos de autenticação
• Arquivos contendo credenciais de acesso
• Pistas no código
• Teste de Gerenciamento de Sessões
• Descoberta de vulnerabilidades e exploração
• Identificares de sessão previsíveis
• Domínio de identificadores com baixa cardinalidade
• Transmissão em claro de identificadores de sessão
• Manipulação de identificador de sessão por meio de scripts
• Atributos de cookies
• Sequestro de sessão
• Session Fixation
• Encerramento vulnerável de sessão
• Sessões simultâneas de um mesmo usuário
• Cross-site request Forgery
• Clickjacking
• OWASP Top 10 
• Resumo de cada Vulnerabilidade
• Explorações e Desafios práticos de cada vulnerabilidade do OWASP Top 10
• Defesa