This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "LatamTour2018 Peru"

From OWASP
Jump to: navigation, search
m (Taller)
(Workshop)
Line 2: Line 2:
 
==  '''Lima, Perú: 27 de Abril de 2018 (Talleres) 28 de Abril (Conferencias)''' ==
 
==  '''Lima, Perú: 27 de Abril de 2018 (Talleres) 28 de Abril (Conferencias)''' ==
  
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
+
{| class="sortable" style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
 
| colspan="2" align="center" style="background: #4B0082;" | <span style="color:#ffffff">'''LIMA PERÚ'''</span>
 
| colspan="2" align="center" style="background: #4B0082;" | <span style="color:#ffffff">'''LIMA PERÚ'''</span>
 
|-
 
|-
| colspan="2" align="center" style="background:#4B0082;" | <span style="color:#ffffff"> '''TALLERES (Viernes 27)'''</span>
+
| colspan="0" align="center" style="background: #4B0082;" | <span style="color:#ffffff">'''TALLER'''</span>
 
|-
 
|-
| colspan="0" style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" | '''Fecha'''
 
| colspan="0" style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" | '''Lugar'''
 
 
|-
 
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | ''' Viernes 27 de Abril '''
+
| style="width:100%" valign="middle" bgcolor="#CCCCEE" align="center" | '''Workshop: Hacking Web para Cumplimiento PCI-DSS'''
| valign="middle" bgcolor="#EEEEEE" align="left" | ''' Universidad de Lima '''
 
 
|-
 
|-
| colspan="2" align="center" style="background:#EEEEEE;" | Durante todo el OWASP LatamTour se estarán realizando talleres de capacitación dictados por destacados profesionales en la materia.<br>
+
| valign="middle" bgcolor="#EEEEEE" align="left" | PCI-DSS v3.2 en su Requisito 6, Desarrollar y mantener sistemas y aplicaciones seguros, exige seguir directrices seguras como las definidas por OWASP a las entidades bancarias emisoras de tarjetas de crédito.
'''Duración:''' 4 a 8 horas<br>
+
 
'''Precio:''' S/500 (Público en General). S/250 (Estudiantes y Miembros activos de OWASP)  <br>
+
En este taller se desarrollará de manera práctica el OWASP Top 10 tanto la detección y la explotación de cada una así como su corrección en código en ambientes de desarrollo bajo máquinas virtuales.  
'''Para mayor información : ''' Por favor comuníquese al correo [email protected]<br>
 
'''Link de Registro''':  [''' Vía Correo Electrónico''']  '''<br>'''
 
|}
 
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
 
| colspan="2" align="center" style="background: #4B0082;" | <span style="color:#ffffff">'''LIMA PERÚ'''</span>
 
|-
 
| colspan="0" align="center" style="background: #4B0082;" | <span style="color:#ffffff">'''TALLER 1'''</span>
 
|-
 
|-
 
| style="width:100%" valign="middle" bgcolor="#CCCCEE" align="center" | '''Taller: Nmap - Desarrollo de NSE para ataque y defensa'''
 
|-
 
| valign="middle" bgcolor="#EEEEEE" align="left" | Este taller enseñará a los participantes a usar Nmap y Nmap Scripting Engine (NSE) para extender el poder y las capacidades de Nmap. Cubrirá los aspectos básicos del uso de Nmap, NSE y el lenguaje de programación Lua antes de sumergirse en cómo resolver problemas escribiendo scripts y módulos personalizados. Al final del taller, tendrá un conocimiento profundo de Nmap, el motor de scripts Nmap y cómo desarrollar scripts NSE para tareas ofensivas y defensivas. Los participantes recibirán una máquina virtual que pueden usar durante el entrenamiento. .
 
  
<br>
 
 
'''Perfil del Trainer : '''
 
'''Perfil del Trainer : '''
  
'''[https://twitter.com/calderpwn/ Paulino Calderon] ''',  (@calderpwn) ha estado en la seguridad de la información por más de 10 años. Es cofundador de Websec, una empresa que ofrece servicios de consultoría de seguridad de la información con sede en México y Canadá. Le encanta aprender nuevas tecnologías, realizar experimentos de big data y desarrollar y destruir software. En 2011, Paulino se unió al equipo de Nmap durante el programa Google Summer of Code para trabajar en el proyecto como desarrollador de NSE. Se centró en mejorar las capacidades de escaneo web de Nmap y ha seguido contribuyendo al proyecto desde entonces. También ha publicado 'Nmap 6: Exploración de red y Cookbook de auditoría de seguridad' y 'Mastering the Nmap Scripting Engine' que cubre tareas prácticas con Nmap y el desarrollo de NSE. Le encanta asistir a las conferencias de seguridad de la información y ha impartido charlas y talleres en más de 30 eventos en Canadá, Estados Unidos, México, Colombia, Perú, Bolivia y Curazao.
+
Ricardo Supo Picón / Twitter @ricardosupo
<br>
 
  
* '''Duración:''' 4 horas<br>
+
Líder de OWASP capítulos Perú y Rio de Janeiro, CTO & Founder de INZAFE S.A. (Brasil - Chile - Perú), Ingeniero de Sistemas por la Universidad de Lima y Postgrado en Seguridad Informática por la UOC España. Reconocido por el gobierno peruano por su apoyo a combatir el Cybercrimen. Dispone de más de 10 años de experiencia en el sector bancario latinoamericano especializándose en los temas de ethical hacking, análisis forense, pentesting web, programación segura, ingeniería reversa, análisis de malware, optimización, revisión de código, criptografía y fraude bancario.
* '''Precio:''' S/500 (Público en General). S/250 (Estudiantes y Miembros activos de OWASP)  <br>
 
* '''Para mayor información : ''' Por favor comuníquese al correo owasp.peru@gmail.com<br>
 
* '''Link de Registro''':  [''' Vía Correo Electrónico''']  '''<br>'''
 
|-
 
|}
 
  
{| class="sortable" style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
+
'''Objetivo'''
| colspan="2" align="center" style="background: #4B0082;" | <span style="color:#ffffff">'''LIMA PERÚ'''</span>
+
* Conocer los requerimientos de Desarollo Seguro exigidos por PCI-DSS
|-
+
* Conocer como detectar vulnerabilidades y como corregirlas a nivel de código.
| colspan="0" align="center" style="background: #4B0082;" | <span style="color:#ffffff">'''TALLER 2'''</span>
+
* Conocer las metodologías de OWASP para el Desarrollo Seguro en el Ciclo de Vida del Desarrollo del Software (SDLC)
|-
+
* Adquirir los conocimiento para explotar las vulnerabilidades del Top 10 OWASP.
|-
+
'''Temario'''
| style="width:100%" valign="middle" bgcolor="#CCCCEE" align="center" | '''Taller: Introducción al Ethical Hacking de Aplicaciones Web'''
+
* OWASP Top 10
|-
+
* Introducción a PCI-DSS
| valign="middle" bgcolor="#EEEEEE" align="left" | Dar a conocer los conceptos básicos para el análisis de aplicativos basados en arquitecturas x86 y amd64 bajo el sistema operativo windows, los asistentes al terminar el curso podrán realizar el análisis de binarios para dichas arquitecturas y poder realizar un testing de sus fortalezas y debilidades.
+
* Requisito 6 - Desarrollar y mantener sistemas y aplicaciones seguros:
 
+
* 6.1 Identificación de vulnerabilidades por fuentes externas.
Introducción a las Aplicaciones Web
+
* 6.2 Procedimiento de Instalación de Parches.
* Fundamentos HTTP
+
* 6.3 Desarrollo Seguro en el SDLC y OpenSAMM
* Servidores Web
+
* 6.4 Gestión de Cambios
* Arquitecturas utilizadas en Aplicaciones Web.
+
* 6.5 Vulnerabilidades Comunes en Codificación (OWASP Top 10):
Introducción a la Seguridad de Aplicaciones
+
* A1 - Inyección. 
* Tendencias de Ataque.
+
** Laboratorio de Explotación y Corrección.
* OWASP, más que el TOP10
+
* A2 - Pérdida de Autenticación y Gestión de Sesiones 
* SDLC, estándares y buenas prácticas de desarrollo.
+
** Laboratorio de Explotación y Corrección.
* Tecnologías de Defensa y Ataque
+
** Consideraciones para implementaciones.
* Análisis de Vulnerabilidades Web
+
* A3 - Secuencia de Comandos en Sitios Cruzados (XSS)
OWASP Top 10 - Vulnerabilidades en Aplicativos
+
** Laboratorio de Explotación y Corrección.
* Inyección
+
* A4 - Referencia Insegura a Objetos
* Pérdida de Autenticación y Gestión de Sesiones
+
** Laboratorio de Detección y Corrección.
* Secuencia de comandos en sitios cruzados (XSS)
+
* A5 - Configuración de Seguridad Incorrecta
* Referencia Directa Insegura a Objetos
+
** Laboratorio de Detección y Corrección.
* Configuración de Seguridad Inadecuada
+
* A6 - Exposición de Datos Sensibles
* Exposición de Datos Sensibles
+
** Laboratorio de Detección y Corrección.
* Ausencia de Control de Acceso a las Funciones
+
* A7 - Inexistente Control de Acceso a Nivel de Funcionalidades
* Falsificación de Peticiones en Sitios Cruzados (CSRF)
+
** Laboratorio de Detección y Corrección.
* Uso de componentes con Vulnerabilidades conocidas
+
* A8 - Falsificación de Peticiones en Sitios Cruzados(CSRF)
* Redirecciones y Reenvíos no validados
+
** Laboratorio de Explotación y Corrección.
 +
* A9 - Uso de Componentes con Vulnerabilidades Conocidas
 +
* A10 - Redirecciones y Reenvíos No Válidos
 +
** Laboratorio de Explotación y Corrección.
 +
* 6.6 Protección de Aplicaciones Externas - NAXSI
 +
* 6.7 Políticas y Lineamientos de Seguridad y ASVS
 +
* Capture the Flag del Top 10 OWASP
  
<br>
+
* '''Duración:''' 4 horas (Grupo 1: 09:00hs a 13:00hs, Grupo 2 - 14:00hs a 18:00hs )<br>  
'''Perfil del Trainer : '''
+
* '''Precio:''' S/300 (Público en General). S/150 (Estudiantes y Miembros activos de OWASP)  <br>  
 
+
* ''' : ''' Por favor comuníquese al correo [email protected]<br>'''<br>'''  
'''[https://twitter.com/MauricioUrizar Mauricio Urizar] ''', (@MauricioUrizar).
 
'''[https://twitter.com/John_Vargas John Vargas] ''',  (@John_Vargas).
 
<br>
 
 
 
* '''Duración:''' 8 horas<br>  
 
* '''Precio:''' S/500 (Público en General). S/250 (Estudiantes y Miembros activos de OWASP)  <br>  
 
* '''Para mayor información : ''' Por favor comuníquese al correo [email protected]<br>  
 
* '''Link de Registro''':  [''' Vía Correo Electrónico''']  '''<br>'''
 
 
|-
 
|-
 
|}
 
|}
 
 
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
 
{| style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" cellspacing="5" align="center"
 
|-
 
|-

Revision as of 16:46, 25 April 2018

Lima, Perú: 27 de Abril de 2018 (Talleres) 28 de Abril (Conferencias)

LIMA PERÚ
TALLER
Workshop: Hacking Web para Cumplimiento PCI-DSS
PCI-DSS v3.2 en su Requisito 6, Desarrollar y mantener sistemas y aplicaciones seguros, exige seguir directrices seguras como las definidas por OWASP a las entidades bancarias emisoras de tarjetas de crédito.

En este taller se desarrollará de manera práctica el OWASP Top 10 tanto la detección y la explotación de cada una así como su corrección en código en ambientes de desarrollo bajo máquinas virtuales.

Perfil del Trainer :

Ricardo Supo Picón / Twitter @ricardosupo

Líder de OWASP capítulos Perú y Rio de Janeiro, CTO & Founder de INZAFE S.A. (Brasil - Chile - Perú), Ingeniero de Sistemas por la Universidad de Lima y Postgrado en Seguridad Informática por la UOC España. Reconocido por el gobierno peruano por su apoyo a combatir el Cybercrimen. Dispone de más de 10 años de experiencia en el sector bancario latinoamericano especializándose en los temas de ethical hacking, análisis forense, pentesting web, programación segura, ingeniería reversa, análisis de malware, optimización, revisión de código, criptografía y fraude bancario.

Objetivo

  • Conocer los requerimientos de Desarollo Seguro exigidos por PCI-DSS
  • Conocer como detectar vulnerabilidades y como corregirlas a nivel de código.
  • Conocer las metodologías de OWASP para el Desarrollo Seguro en el Ciclo de Vida del Desarrollo del Software (SDLC)
  • Adquirir los conocimiento para explotar las vulnerabilidades del Top 10 OWASP.

Temario

  • OWASP Top 10
  • Introducción a PCI-DSS
  • Requisito 6 - Desarrollar y mantener sistemas y aplicaciones seguros:
  • 6.1 Identificación de vulnerabilidades por fuentes externas.
  • 6.2 Procedimiento de Instalación de Parches.
  • 6.3 Desarrollo Seguro en el SDLC y OpenSAMM
  • 6.4 Gestión de Cambios
  • 6.5 Vulnerabilidades Comunes en Codificación (OWASP Top 10):
  • A1 - Inyección. 
    • Laboratorio de Explotación y Corrección.
  • A2 - Pérdida de Autenticación y Gestión de Sesiones 
    • Laboratorio de Explotación y Corrección.
    • Consideraciones para implementaciones.
  • A3 - Secuencia de Comandos en Sitios Cruzados (XSS)
    • Laboratorio de Explotación y Corrección.
  • A4 - Referencia Insegura a Objetos
    • Laboratorio de Detección y Corrección.
  • A5 - Configuración de Seguridad Incorrecta
    • Laboratorio de Detección y Corrección.
  • A6 - Exposición de Datos Sensibles
    • Laboratorio de Detección y Corrección.
  • A7 - Inexistente Control de Acceso a Nivel de Funcionalidades
    • Laboratorio de Detección y Corrección.
  • A8 - Falsificación de Peticiones en Sitios Cruzados(CSRF)
    • Laboratorio de Explotación y Corrección.
  • A9 - Uso de Componentes con Vulnerabilidades Conocidas
  • A10 - Redirecciones y Reenvíos No Válidos
    • Laboratorio de Explotación y Corrección.
  • 6.6 Protección de Aplicaciones Externas - NAXSI
  • 6.7 Políticas y Lineamientos de Seguridad y ASVS
  • Capture the Flag del Top 10 OWASP
  • Duración: 4 horas (Grupo 1: 09:00hs a 13:00hs, Grupo 2 - 14:00hs a 18:00hs )
  • Precio: S/300 (Público en General). S/150 (Estudiantes y Miembros activos de OWASP)
  •  : Por favor comuníquese al correo [email protected]

CONFERENCIAS (Sábado 28)
Fecha Lugar
Sábado 28 de Abril
9:00 am
Auditorio S - Universidad de Lima


Lima - Perú

Precio y Registro
El ingreso a las conferencias es 100% GRATUITO - El proceso de registro lo podrá ubicar en el siguiente link :

EL REGISTRO SE ENCUENTRA ABIERTO!

Promociones
OFERTA ESPECIAL - Durante todo el OWASP Latam Tour el costo de la membresía anual es de solamente U$D 20. Utilice el código de descuento "LATAM" durante el proceso de registro electrónico como miembro individual en el enlace disponible a continuación.

Hágase MIEMBRO DE OWASP AQUÍ
Si usted aun no es miembro OWASP, por favor considere unirse a nuestra organización.


DETALLES DE LA JORNADA
Horario Tema Ponente Presentación
9:00 am Acreditación OWASP Perú Descargar Slides
Watiqay Carlos Ganoza
Hacking Docker for fun and (not) profit Luis Quispe Gonzales
Post Explotación Ataque y Contención Aleida Pérez
Revisando un incidente de seguridad de Verizon (ISC)2 Peru Chapter: Javier Romero
Érase una vez cuando hackearon un NIC Ricardo Supo Picón
Pentesting de Aplicaciones node.js Juan Oliva
Paulino Calderon