Bienvenida y panorama general

1

Lo que aprenderás sobre el hacking ético

2

Conceptos básicos sobre hacking ético

3

Vulnerabilidades

4

Amenazas y ataques comunes

5

Instalación del entorno de pruebas Kali Linux

6

Instalación del entorno de pruebas Mutillidae

7

Instalación del entorno de pruebas Metaesplotaible 3

8

Práctica: Cross-Site-Scripting, command injection y directorio transversal

Introducción al Hacking Ético

9

Fases del hacking

10

¿Qué es hacking y hacker? Tipos de hacker

11

Práctica: Obteniendo información de fuentes abiertas con OSINT Framework y Google hacking

12

Práctica: Analizar un sitio web con Nikto y Spiderfoot

13

¿Es necesario un hacking ético? Hacking ético como profesión

Pentesting

14

Conceptos. ¿Qué es y qué no es una pentesting?

15

Tipos de pentesting. Fase Pre-ataque

16

Práctica: Buscando secretos en repositorios GIT

17

Introducción al escaneo de redes

18

Práctica: Escaneo de redes con Nmap

19

Fase de Ataque. Testing de aplicaciones web con Burp suite

20

Práctica: Explotando vulnerabilidades en metasploitable

21

Fase Post-ataque. Metodologías

Estándares y aspectos legales

22

PCI DSS. HIPAA. DMCA.ISO/IEC 27001

23

Contratos, Reglas de compromisos, Cláusula de no competencia y Acuerdo de confidencialidad

24

Convenio de Budapest. ¿Cómo vamos en América latina? Salvaguarda de evidencias digitales

Casos típicos de ataques

25

Malware y Análisis estático de malware

26

Malware y Análisis dinámico de malware

27

Sniffing y Cómo realizar un ataque Man in the middle automatico

28

Sniffing y Cómo realizar un ataque Man in the middle manual

29

Denegación de servicio. Ataque DOS con LOIC y HOIC

30

Ingeniería social

Controles y mecanismos de seguridad

31

Políticas de seguridad. Seguridad física y Controles de acceso

32

Práctica: Bypass autenticación QR (Reto 6 SANS Holiday hack)

33

Copias de seguridad. Defensa en lo profundo

34

Práctica: instalación del IDS snort

35

Gestión de riesgos y modelado de amenazas

Aún no tienes acceso a esta clase

Crea una cuenta y continúa viendo este curso

Conceptos. ¿Qué es y qué no es una pentesting?

14/35
Recursos

Pentesting es una forma de cómo conocer de un sistema o una red a través de una simulación de ataque que tienen como objetivo encontrar vulnerabilidades que pueden ser aprovechadas por atacantes reales.

¿Por qué realizar pentesting?

  • Reducir el gasto de seguridad de TI y mejorar el ROSI
  • Enfocarse en vulnerabilidades de alta severidad y aumentar la conciencia de seguridad
  • Adoptar las mejores prácticas en cumplimiento de las normativas legales y del sector
    Recomendaciones
    Establece los parámetros para la prueba de penetración. Qué quiere evaluar la empresa
    Documentando el resultado cuidadosamente y haciéndolo comprensible para el cliente

Auditoría de seguridad: Esto lo implementa una empresa cuando se siguen un conjunto de normas o leyes establecidas para saber están siendo cumplidas
Evaluación de vulnerabilidades: Sirve para listar las vulnerabilidades sin explotarlas, podemos colocarle ponderancia y saber si nos puede afectar, qué tan grave puede ser.

Aportes 17

Preguntas 3

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

Los objetivos que se van a evaluar se determinan por una Análisis de Riesgos

Muy Importante. Pentest es un Proceso Autorizado con un Documento.

cómo se evalúa una vulnerabilidad si no es explotada?, según mi lógica tenemos que ver consecuencias para evaluar o no sé estoy medio confundido🤣🤣

Muy importante tener encuenta los objetivos del pentesting. Las diferencias son muy importantes para no confundir entre pentesting - auditoria y analisis de vulnerabilidades.

Pentesting: (prueba de seguridad) Es una forma de conocer que tan vulnerable es un sistema o red a los ataques internos o externos mediante simulaciones de ataques reales controlados (corrijan me si me equivoco por favor)

Vulnerabilidades
Diseño implementación, configuración

Evaluar
Patrones de los usuarios

Documentar
Sin filtrar información Todos los pasos que se hicieron para encontrar esa vulnerabilidad y
dar una solución a ese problema

Espero que sea mas claro … El análisis de vulnerabilidad realiza la identificación de las vulnerabilidades en una red o sistema (SOLO IDENTIFICA NO ATACA)… Por otro lado el Pentest envuelva la detección de vulnerabilidades sumada a los intentos de aprovecharlas y simular un ataque real (SI SIMULA ATAQUES contrario a lo que dice el profesor). El se enfoca en probar las defensas y mapear las posibles rutas que toma el invasor.

Tenía lo conceptos agrupados, sobre Evaluación de vulnerabilidades y Pentesting, ahora los tengo claros.

ok

Excelente clase

exelente infromacion

gracias, clara la diferencia entre pentesting, auditoria informatica y evaluacion de vulnerabilidades.

Es posible: crear un ambiente de pruebas y replicar los sistemas involucrados a evaluar. Y luego de tenerlo claro(posibles errrores, etc.), realizar las pruebas en el servidor real. Es bueno también coordinar los horarios de menos concurrencia.

Es un para Método de evaluar la seguridad de los equipos y las redes de comunicación simulando un ataque informático a un servidor o red desde una fuente externa o interna. Básicamente para detectar las vulnerabilidades, y probar que estas sean explotables.

Es importante que antes de realizar unas pruebas de seguridad tener claro el alcance y el objetivo que se tiene.

Excelente

Voy siguiendo la carrera de seguridad informatica y veo que en todos los cursos repiten lo mismo