|
Hackeo y Evaluación
de Aplicaciones Web (12
hrs.) |
$12,650
m.n.* Esp |
| Desarrollo
Seguro con Visual Studio .Net
(12 hrs.) |
$12,650
m.n.* Ing |
| Desarrollo
Seguro con Java/J2EE (12 hrs.) ACTUALIZADO |
$12,650
m.n.* Ing |
| Ataque
y Defensa Avanzada de OS/400 (6 hrs.) |
$7,700
m.n.* Esp |
| Ataque
y Defensa de MS SQL Server (6 hrs.) |
$7,700
m.n.* Esp |
| Ataque
y Defensa de Bases de Datos Oracle (6 hrs.) |
$7,700 m.n.* Esp |
| Ataque
y Defensa de Servidores Web UNIX (6
hrs.) |
$7,700
m.n.* Ing |
| Ataque
y Defensa Avanzada de Windows & IIS (6
hrs.) |
$7,700
m.n.* Esp
|
| Ingeniería
Inversa para hallar Vulnerabilidades (6
hrs.) |
$7,700
m.n.* Esp |
| |
|
*
El descuento aplica al momento del pago en Ticketmaster. No incluye
estacionamiento ni comidas. Si requiere factura u otro medio de
pago contacte a los organizadores escribiendo a websec@sm4rt.com
Esp - El curso será impartido en su totalidad en idioma Español.
Ing - El curso será impartido total o parcialmente en Inglés,
no incluirá traducción simultánea pero habrá
un asistente para ayudar a responder preguntas en Español. |
|
Ataque
y Defensa de Bases de Datos Oracle
NIVEL
DE DIFICULTAD:
· Medio
PREREQUISITOS:
· Conocimiento básico de administración y/o uso
de bases de datos Oracle.
REQUERIMIENTOS:
· Estudiantes interesados en participar en los ejercicios prácticos
deberán traer su propia computadora portátil con Windows
2000 o Windows XP y Oracle 10gR1 sin parches instalado. Deberá estar habilitada
para conectarse a una red inalámbrica.
EL CURSO VA DIRIGIDO A:
· Administradores de Servidores y bases de datos Oracle
· Desarrolladores de Aplicaciones con Oracle
· Auditores
· Directivos y responsables de Seguridad de la Información
OBJETIVO:
· El curso de Ataque y Defensa de BDs Oracle tiene como objetivo
demostrar las vulnerabilidades que tienen estos servidores de base de
datos y la forma en como se pueden mitigar en un ambiente corporativo.
TEMARIO:
1) Hacking and protecting the Oracle Listener
· Discovering Oracle Listeners
· Attacking Oracle Listeners
· How to secure the Listener
2) Getting security sensitive information
· Getting listener information
· Getting Oracle configuration
· Enumerating users, linked servers and other objects
· How this information can be used to hack the database
· How to protect
3) Hacking and protecting user passwords
· Default users
· Getting user passwords in clear text
· Cracking user passwords
· Auditing users and passwords
· Using Profiles to ensure passwords are protected
4) Exploiting Oracle vulnerabilities
· How to exploit a PL/SQL buffer overflow vulnerability
· How to protect
5) SQL Injection
· Different kinds of SQL injection vulnerabilities
· Autonomous transactions
· Exploiting SQL injection vulnerabilities using different techniques
· How to view wrapped PL/SQL for SQL Injection vulnerabilities
· Advanced SQL Injection
· How to protect
6) Auditing Oracle
· What can be audited in Oracle databases
· Auditing using the redo log files
· Alert logs and trace files
· How to enable auditing
· Analyzing audit trails
· Fine Grained auditing
7) Secure configuration checklist
· Review of a recommended security checklist
8) Security Patches
· Problems with patches
· Detecting and solving problems
INSTRUCTOR:
Esteban Martínez Fayó
PRECIO: $7,700 pesos.
UBICACIÓN: Salón Yaqui, WTC México.
HORARIO: Lunes 13 y Martes 14 de Febrero de 4:00pm a 7:00pm.
REGISTRO: Lunes 13 de Febrero, 3:00pm.
SERVICIOS: Servicio de café incluido, no incluye comidas.
FACTURACIÓN: Si requiere de factura, por favor mande un correo
a la siguiente dirección: websec@sm4rt.com; o solicítela
en la hora de registro el día del evento.
ir
arriba
Desarrollo
Seguro con Visual Studio .NET
NIVEL
DE DIFICULTAD:
· Medio
PRERREQUISITOS:
· Conocimiento básico en desarrollo de aplicaciones con
Visual Studio. Parte de este curso será impartido en Inglés.
REQUERIMIENTOS:
· Estudiantes interesados en participar en los ejercicios prácticos
deberán traer su propia computadora portátil con Windows
XP y Visual Studio .Net instalados. Deberá estar habilitada para
conectarse a una red inalámbrica.
OBJETIVO:
· Al finalizar el curso el asistente contará con la metodología
y técnicas necesarias para desarrollo de aplicaciones de forma
segura. Conocerá las vulnerabilidades que existen y como proteger
sus aplicaciones.
EL CURSO VA DIRIGIDO A:
· Líderes de Proyecto y Desarrolladores Web
· Directivos y gerentes encargados de los portales y aplicaciones
Web
· Directivos y responsables de Seguridad de la Información
TEMARIO:
· Proceso de código seguro
· La base del código seguro
· Modelado de Riesgos
· Las 10 vulnerabilidades principales de OWASP
· Validación de datos
· Manejo de errores
· Autenticación y manejo de sesión
· Acceso a base de datos
· Configuración segura del servidor
INSTRUCTOR:
Daniel Cuthbert y Carlos Ochoa
PRECIO: $12,650 pesos.
UBICACIÓN: Salón Huichol, WTC México.
HORARIO: Lunes 13 y Martes 14 de Febrero de 8:00am a 2:00pm.
REGISTRO: Lunes 13 de Febrero, 7:00am.
SERVICIOS: Servicio de café incluido, no incluye comidas.
FACTURACIÓN: Si requiere de factura, por favor mande un correo
a la siguiente dirección: websec@sm4rt.com; o solicítela
en la hora de registro el día del evento.
ir
arriba
Hackeo
y Evaluación de Aplicaciones Web
NIVEL DE DIFICULTAD:
· Básico
PRERREQUISITOS:
· Se aprovechará más si se tiene conocimiento de
sistemas operativos, HTML, programación de páginas
Web, redes TCP/IP y bases de datos.
REQUERIMIENTOS:
· Estudiantes interesados en participar en los ejercicios prácticos
deberán traer su propia computadora portátil con Windows
2000 o Windows XP instalado y habilitada para conectarse a red cableada
e inalámbrica.
OBJETIVO:
· El objetivo del curso es presentar los riesgos principales
de las aplicaciones e infraestructura Web y con ello mostrar el estudiante
a revisar y validar aplicaciones Web. Se presentarán las herramientas
y metodologías adecuadas para hacer un diagnóstico y revisión
de seguridad de una aplicación Web y de los servidores subyacentes.
EL CURSO VA DIRIGIDO A:
· Líderes de Proyecto y Desarrolladores Web
· Directivos y responsables de Seguridad de la Información
· Auditores
· Directivos y gerentes encargados de los portales y aplicaciones
Web
TEMARIO:
· Recopilación de información
· Curso relámpago TCP / IP
· Escaneo de puertos y servicios
· Ataque de contraseñas
· Intercepción de comunicaciones
· Google Hacking
· Falta de validación de Entradas
· Ataques a Control de Accesos
· Ataques a la autenticación y manejo de sesión
· Cross Site Scripting (XSS)
· Inyección de SQL
· Inyección de LDAP y de comandos
· Buffer Overflows
· Almacenamiento inseguro
· Negación de Servicio
· Mala configuración de Servidores Web
INSTRUCTOR:
Victor Chapela
PRECIO: $12,650 pesos.
UBICACIÓN: Salón Yaqui, WTC México.
HORARIO: Lunes 13 y Martes 14 de Febrero de 8:00am a 2:00pm.
REGISTRO: Lunes 13 de Febrero, 7:00am.
SERVICIOS: Servicio de café incluido, no incluye comidas.
FACTURACIÓN: Si requiere de factura, por favor mande un correo
a la siguiente dirección: websec@sm4rt.com; o solicítela
en la hora de registro el día del evento.
ir
arriba
Ataque
y Defensa Avanzada de OS/400
NIVEL
DE DIFICULTAD:
· Medio
PRERREQUISITOS:
· Conocimiento básico de administración de OS/400.
OBJETIVO:
· El objetivo del curso es presentar los ataques posibles a los
sistemas AS/400 así como las formas de prevenirlos.
EL CURSO VA DIRIGIDO A:
· Administradores y operadores de OS/400
· Auditores
· Directivos y responsables de Seguridad de la Información
TEMARIO:
1) Hardening
· Valores de Sistema
· Parámetros de configuración de usuarios
· Seguridad de objetos y listas de autoridad
2) Seguridad Perimetral
· Cifrado de protocolos de comunicación
· Autoridades prestadas
· LDAP en OS/400
3) Vulnerabilidades
· AS/400 y sus principales vulnerabilidades
4) Automatización
· Automatización para la configuración de la seguridad
· Implantación y automatización de LOGS
5) Prevención y detección de ataques
· Uso y aprovechamiento de logs en OS/400
· Monitoreo y Auditoría
INSTRUCTOR:
Alejandro Copado
PRECIO: $7,700 pesos.
UBICACIÓN: Salón Zapoteca, WTC México.
HORARIO: Lunes 13 de Febrero de 8:00am a 2:00pm.
REGISTRO: Lunes 13 de Febrero, 7:00am.
SERVICIOS: Servicio de café incluido, no incluye comidas.
FACTURACIÓN: Si requiere de factura, por favor mande un correo
a la siguiente dirección: websec@sm4rt.com; o solicítela
en la hora de registro el día del evento.
ir
arriba
Curso
Desarrollo Seguro en Java / J2EE
NIVEL
DE DIFICULTAD:
· Medio / Alto
PRERREQUISITOS:
· El estudiante deberá tener un entendimiento de la mayoría o totalidad de los siguientes conceptos y tecnologías:
· Conocimiento básico de herramientas de programación Java (java, javac, javah)
· Conocimiento básico a avanzado de Java
· Conocimientos de programación de java bytecode y del core del API de Java
ayudarán a entender conceptos clave
· Conocimientos básicos de conceptos de seguridad como mínimos privilegios y
modelos de seguridad
· Conocimiento de riesgos y problemas comunes de seguridad en lenguaje C serán
útiles en la parte de JNI
· Buena comprensión del idioma Inglés ya que el curso será impartido en este idioma
REQUERIMIENTOS:
· Estudiantes interesados en participar en los ejercicios prácticos
deberán traer su propia computadora portátil capaz de compilar código Java y con el Sun JDK1.4.2_x y el IBM Eclipse IDE 3.0.x instalados. Deberá estar habilitada para conectarse a una red inalámbrica.
OBJETIVO:
· Al finalizar el curso el asistente contará con la metodología
y técnicas necesarias para desarrollo de aplicaciones de forma
segura en Java/J2EE. Conocerá las vulnerabilidades que existen
y como proteger sus aplicaciones.
EL CURSO VA DIRIGIDO A:
· Líderes de Proyecto y Desarrolladores Web
· Directivos y gerentes encargados de los portales y aplicaciones
Web
· Directivos y responsables de Seguridad de la Información
TEMARIO:
Day 1
1) Introduction
· Security in a broader sense
· The history of Java security (Felten, LSD, …)
2) Java and security - J2SE Java 1.4 application areas
· Desktop Java (J2SE)
· WebServer Java (J2EE/JSP)
· BackendServer Java (J2EE/EJB)
· DatabaseServer Java (J2EE/JDBC)
3) What to attack and protect
· Attacks on Integrity
· Attacks on Confidentiality
· Attacks on Availability
4) Java security architecture
4a. Core java runtime environment security:
· JVM security
· Java language security
· Core API security
· Classloaders and protection domains
4b. Application security:
· JSSE and SSL
· GSSAPI
· JAAS
5) Java Secure Coding
5a. Sun’s secure programming guidelines
5b. Antipatterns
1. Static variables
· Derived Vulnerabilities
· Possible Attacks
· Precautions and Detection
· PoC [Covert Channels in JDK]
2. Privileged Code
· Derived Vulnerabilities
· Possible Attacks
· Precautions and Detection
· PoC [The Disk filling applet]
3. Visibilities
· Derived Vulnerabilities
· Possible Attacks
· Precautions and Detection
· PoC [XMLSniffing vulnerability in JDK 1.4.2_05]
4. Serialisation
· Derived Vulnerabilities
· Possible Attacks
· Precautions and Detection
· PoC [Remote Attacks and Malicious Objects]
5. Native Code
· Derived Vulnerabilities
· Possible Attacks
· Precautions and Detection
· PoC [The memory reading applet in the Java Media Framework]
6. Non-Adequate permissions for 3^rd party libraries and frameworks
· Derived Vulnerabilities
· Possible Attacks
· Precautions and Detection
· PoC [Remote code execution in JBoss 3.2.1]
7. Java Arithmetics
· Derived Vulnerabilities`
· Possible Attacks
· Precautions and Detection
· PoC [The Java.util.zip package and the flipping sign]
Day 2
6) Java Bytecode Engineering
· Quickwalk thru the Java Bytecode instruction set
· Anatomy of class files
· Bytecode frameworks
· BCEL
· ASM
· Javassist
· Findbugs
· How to write custom detectors in with BCEL and findbugs
· Classwalkers
· Fieldwalkers
· Methodwalkers
7) Finding adequate permission sets for java applications
· Permissions in JDK
· The jchains framework
8) Hardening Java protocols
· JDBC security
· RMI security (JRMP and RMI/IIOP)
· Serialisation security
9) Hardening Java middleware applications
· Tomcat security
· Java databases security
10) Security in the new Tiger and Mustang releases
11) Selected use cases from the audience
12) Summary, Q&A and farewell
INSTRUCTOR:
Marc Schoenefeld
PRECIO: $12,650 pesos.
UBICACIÓN: Salón Tarasco, WTC México.
HORARIO: Lunes 13 y Martes 14 de Febrero de 8:00am a 2:00pm.
REGISTRO: Lunes 13 de Febrero, 7:00am.
SERVICIOS: Servicio de café incluido, no incluye comidas.
FACTURACIÓN: Si requiere de factura, por favor mande un correo
a la siguiente dirección: websec@sm4rt.com; o solicítela
en la hora de registro el día del evento.
ir
arriba
Curso
de Ingeniería Inversa para detectar Vulneravilidades
NIVEL
DE DIFICULTAD:
· Básico
PRERREQUISITOS:
· Conocimiento de programación en C.
· Conocimiento básico de lectura de ensamblador x86
REQUERIMIENTOS:
· Estudiantes interesados en participar en los ejercicios prácticos
deberán traer su propia computadora portátil con Windows
2000/XP y la aplicación IDA Pro instalada. Se recomienda que
cuenten con acceso inalámbrico.
OBJETIVO:
· Introducir a los estudiantes al proceso de encontrar vulnerabilidades
en software de código cerrado. Se aprenderá cuales son
los errores más comunes que llevan a que sea explotable. Se identificarán
en C y se aprenderán a reconocer en ensamblador. Cada concepto
será ilustrado con ejercicios y prácticas que utilizarán
vulnerabilidades reales.
EL CURSO VA DIRIGIDO A:
· Líderes de Proyecto y Desarrolladores
· Directivos y gerentes encargados de los portales y aplicaciones
corporativas
· Directivos y responsables de Seguridad de la Información
TEMARIO:
1) Patrones de Vulnerabilidades – ¿Cómo
se ven los errores más frecuentes en C y en ensamblador?
· Buffer overflows – causas y efectos
· Format Strings bugs – causas y efectos
· Errores de signo durante comparaciones – causas y efectos
· Desbordamiento de enteros en diferentes operaciones –
causas y efectos
· Negación de servicio – causas y efectos
2) Greybox Auditing – ¿Cómo encontrar
patrones de vulnerabilidades habiendo tantos archivos tan grandes?
· Desensamblado dirigido
· Identificando funcionalidad interesante
· Identificando puntos de entrada
· Identificando operaciones interesantes
· Llamadas a funciones
· Wrappers
· Operaciones “Inlined”
· Análisis en tiempo de ejecución
· Identificando llamadas
· Automatizando el análisis en tiempo de ejecución
con un debugger
· Fuzzing
· ¿A qué se le hace fuzzing?
· Analizando las caídas
INSTRUCTOR: Juan Pablo Martínez
Kuhn
PRECIO: $7,700 pesos.
UBICACIÓN: Salón Zapoteca, WTC México.
HORARIO: Martes 14 de Febrero de 8:00am a 2:00pm.
REGISTRO: Martes 14 de Febrero, 7:00am.
SERVICIOS: Servicio de café incluido, no incluye comidas.
FACTURACIÓN: Si requiere de factura, por favor mande un correo
a la siguiente dirección: websec@sm4rt.com; o solicítela
en la hora de registro el día del evento.
ir
arriba
Curso
de Ataque y Defensa de Servidores Web Unix
NIVEL
DE DIFICULTAD:
· Básico
PRERREQUISITOS:
· Conocimiento básico de administración de servidores
Unix y/o Apache. El curso será impartido en Inglés.
OBJETIVO:
· Dar a los administradores de sistemas una estrategia de defensa
a profundidad para asegurar los servidores que tengan acceso desde Internet.
El foco primario de este curso será presentar la instalación
segura de un servidor Web Apache sobre un sistema operativo Unix.
EL CURSO VA DIRIGIDO A:
· Administradores de sistemas Unix y/o Apache.
· Directivos y gerentes encargados de los portales y aplicaciones
corporativas
· Auditores
· Directivos y responsables de Seguridad de la Información
· Líderes de Proyecto y Desarrolladores
TEMARIO:
1) Attacks against a Web server
· Passive/Recon and Fingerprinting
· Direct Fingerprinting
· Enumeration of default installation directories & common
directory structures
· Outdated web applications
· Denial of Service
2) Correlation and Exploitation
· Web server exploitation
· Input validation exploitation
· Discovered Directories & Default installation exploitation
3) System Exploitation
· Escalation to full host compromise
· Local host vulnerabilities
· Network Exploitation
· Furthering the cause with backdoor toolkits & phishing
toolkits
4) Defense
· OS Security (Remote access from LAN)
· OS Security (File System)
· OS Security (Logging)
· OS Security (Prevention)
· Web server Security
· Web server Logging & alerting
· Network Security
5) Checklists
· Defense
· Offense
· Audit Checklist
INSTRUCTOR:
Dan Clemens
PRECIO: $7,700 pesos.
UBICACIÓN: Salón Tarasco, WTC México.
HORARIO: Lunes 13 y Martes 14 de Febrero de 4:00pm a 7:00pm.
REGISTRO: Lunes 13 de Febrero, 3:00pm.
SERVICIOS: Servicio de café incluido, no incluye comidas.
FACTURACIÓN: Si requiere de factura, por favor mande un correo
a la siguiente dirección: websec@sm4rt.com; o solicítela
en la hora de registro el día del evento.
ir
arriba
Ataque
y Defensa de MS SQL Server
NIVEL
DE DIFICULTAD:
· Medio
PRERREQUISITOS:
· Conocimiento básico de Transact SQL.
· Experiencia básica en administración y/o configuración
de SQL Server.
REQUERIMIENTOS:
· Estudiantes interesados en participar en los ejercicios prácticos
deberán traer su propia computadora portátil con Windows
2000 o Windows XP y SQL Server 2000 Sp3 instalado. Deberá estar habilitada para conectarse a una red inalámbrica.
OBJETIVO:
· El objetivo del curso es presentar los ataques posibles a los
servidores de bases de datos SQL Server así como su forma de
prevención y defensa.
EL CURSO VA DIRIGIDO A:
· Desarrolladores de Aplicaciones que interactúan con
MS SQL Server
· Administradores de Servidores y Bases de datos en MS SQL Server
· Auditores
· Directivos y responsables de Seguridad de la Información
TEMARIO:
1) Hacking with no access
· Discovering SQL Servers
· Brute forcing logins
· Sniffing
· Exploiting remote buffer overflows
· Indirect access
· Exploiting SQL Injection
2) Hacking with access
· Getting SQL Server version
· Getting general information available to all users
· Getting logins and encrypted passwords
· Exploiting buffer overflows
· Cracking encrypted procedures
· Scanning for other servers/services
· Attacking other SQL Servers
· Stealing data
· Stealing databases
· Abusing extended stored procedures
· Abusing linked servers
· Exploiting ownership chaining
· Executing OS commands
· Uploading files
· Stealing SQL Server account credentials
· Installing a backdoor
3) Defending
· Filtering inbound and outbound connections
· Disabling OLE DB providers
· Enabling logging
· Using strong passwords
· Setting strong permissions on extended procedures
· Using encryption
· Disabling cross database ownership chaining
· Changing default LmCompatibilityLevel value
· Setting strong password for SQL Server service account
· Removing passwords left on installation/temp files
· Setting strong passwords on DTS packages
· Setting strong permissions on files/folders/registry
· Running SQL Server service under a low privileged account
· Periodically checking logs
· Periodically checking members of sysadmin role
· Periodically checking objects (tables, extended proc., etc.)
permissions
· Perodically checking for new SQL Server installations
· Using Windows Authentication
· Removing BUILTIN\Administrators from sysadmins role
· Building a SQL Server honeypot
· Building a SQL Server IDS
INSTRUCTOR:
César Cerrudo
PRECIO: $7,700 pesos.
UBICACIÓN: Salón Huichol, WTC México.
HORARIO: Lunes 13 y Martes 14 de Febrero de 4:00pm a 7:00pm.
REGISTRO: Lunes 13 de Febrero, 3:00pm.
SERVICIOS: Servicio de café incluido, no incluye comidas.
FACTURACIÓN: Si requiere de factura, por favor mande un correo
a la siguiente dirección: websec@sm4rt.com; o solicítela
en la hora de registro el día del evento.
ir
arriba
Ataque
y Defensa Avanzada de Windows y IIS
NIVEL
DE DIFICULTAD:
· Medio
PRERREQUISITOS:
· Conocimiento de administración de servidores Windows
y del Internet Information Server.
OBJETIVO:
· Dar a los administradores de sistemas una estrategia de defensa
a profundidad para asegurar los servidores que tengan acceso desde Internet.
· Identificar las herramientas necesarias para auditar y controlar un incidente.
EL CURSO VA DIRIGIDO A:
· Administradores de sistemas Windows con IIS.
· Líderes de Proyecto y Desarrolladores
· Directivos y gerentes encargados de los portales y aplicaciones
corporativas
· Auditores
· Directivos y responsables de Seguridad de la Información
TEMARIO:
1) Ejemplos de Windows 2003 Hacking
· Listando usuarios y directorios compartidos
· Obteniendo privilegios/password de administrador
2) Hardening básico de Windows 2003
· Establecer las políticas básicas de seguridad para un sistema seguro
3) Hardening avanzado de Windows 2003
· Asegurar bases de datos del SAM y Active Directory
· Reforzar los protocolos de encripción para la comunicación vía red
4) Ejemplo de IIS Hacking
· Identificando banners de IIS
5) Hardening básico de IIS
· Establecer las políticas básicas de seguridad para un servidor web seguro
6) Hardening avanzado de IIS
· Eliminar banners de IIS
7) Auditoria y manejo de incidentes
· Habilitar y asegurar los registros de acceso al SO
· Identificar incidentes de ataque, aislarlos y controlarlos
INSTRUCTOR:
Víctor García Turegano
PRECIO: $7,700 pesos.
UBICACIÓN: Salón Zapoteca, WTC México.
HORARIO: Lunes 13 y Martes 14 de Febrero de 4:00pm a 7:00pm.
REGISTRO: Lunes 13 de Febrero, 3:00pm.
SERVICIOS: Servicio de café incluido, no incluye comidas.
FACTURACIÓN: Si requiere de factura, por favor mande un correo
a la siguiente dirección: websec@sm4rt.com; o solicítela
en la hora de registro el día del evento.
ir
arriba |
