Bienvenida y panorama general

1

Lo que aprenderás sobre el hacking ético

2

Conceptos básicos sobre hacking ético

3

Vulnerabilidades

4

Amenazas y ataques comunes

5

Instalación del entorno de pruebas Kali Linux

6

Instalación del entorno de pruebas Mutillidae

7

Instalación del entorno de pruebas Metaesplotaible 3

8

Práctica: Cross-Site-Scripting, command injection y directorio transversal

Introducción al Hacking Ético

9

Fases del hacking

10

¿Qué es hacking y hacker? Tipos de hacker

11

Práctica: Obteniendo información de fuentes abiertas con OSINT Framework y Google hacking

12

Práctica: Analizar un sitio web con Nikto y Spiderfoot

13

¿Es necesario un hacking ético? Hacking ético como profesión

Pentesting

14

Conceptos. ¿Qué es y qué no es una pentesting?

15

Tipos de pentesting. Fase Pre-ataque

16

Práctica: Buscando secretos en repositorios GIT

17

Introducción al escaneo de redes

18

Práctica: Escaneo de redes con Nmap

19

Fase de Ataque. Testing de aplicaciones web con Burp suite

20

Práctica: Explotando vulnerabilidades en metasploitable

21

Fase Post-ataque. Metodologías

Estándares y aspectos legales

22

PCI DSS. HIPAA. DMCA.ISO/IEC 27001

23

Contratos, Reglas de compromisos, Cláusula de no competencia y Acuerdo de confidencialidad

24

Convenio de Budapest. ¿Cómo vamos en América latina? Salvaguarda de evidencias digitales

Casos típicos de ataques

25

Malware y Análisis estático de malware

26

Malware y Análisis dinámico de malware

27

Sniffing y Cómo realizar un ataque Man in the middle automatico

28

Sniffing y Cómo realizar un ataque Man in the middle manual

29

Denegación de servicio. Ataque DOS con LOIC y HOIC

30

Ingeniería social

Controles y mecanismos de seguridad

31

Políticas de seguridad. Seguridad física y Controles de acceso

32

Práctica: Bypass autenticación QR (Reto 6 SANS Holiday hack)

33

Copias de seguridad. Defensa en lo profundo

34

Práctica: instalación del IDS snort

35

Gestión de riesgos y modelado de amenazas

Aún no tienes acceso a esta clase

Crea una cuenta y continúa viendo este curso

Ingeniería social

30/35
Recursos

La ingeniería social consiste en manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir una meta en específico, hacer lo que queramos.

  • Phishing: Se encarga del robo de información o robo de identidad.
  • Dumpster Divin: Por ridículo que parezca, hay empresas que tiran papeles con información importante.
  • Baiting: Conectar USB malicioso de manera inocente
  • Shoulder Surfing: No es más que una persona espiándote en una fila mientras ingresas información importante en tu celular.

¿Cómo evitarlo?

  • Entrenamiento y concientización a los usuarios
  • Realizar campañas de phishing dentro de la institución
  • Analizar detenidamente las URL
  • Verificar los enlaces en páginas como virustotal y phishcheck.me

Aportes 15

Preguntas 4

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

como seria en el caso de que el ataque fuese externo( fuera de la red) que se reemplaza el local host ?

esto podría ser complementario a mitm, haciendo spoofeo a la gateway y levantando la campaña de socialfish de esa manera no tendríamos que darle nuestra ip, la victima entraría sola.

En mi trabajo hicieron phishing para ver como estabamos con la concientizacion de los usuarios y mandaron un mail diciendo una encuesta donde tenias que poner usuario y password para ingresar en un sorteo y el 50% de las personas cayeron. De ahi nos dimos cuenta que tenemos que dedicarle mas a cursos de concientizacion para los usuarios.

MI MEJOR HERRAMIENTA, SIEMPRE DA MEJORES RESULTADOS.

Recomiendo también la herramienta “GoFish”, igualmente es de ingeniería social.

uuffff que bueno, ya mismo hago mi campaña de socialFish

Esta clase, junto con la de DoS, me ha parecido muy interesante.

El segundo enlace del ítem <Archivos y Enlaces> no funciona más…

Buenisima clase…

Muy buena herramienta, me servirá mucho en el trabajo, para concientizar a los usuarios sobre el uso correcto de internet.

Pero no se abre el link fuera de la maquina virtual, que puedo hacer?

Let’s Encrypt es una Autoridad de Certificación gratuita, automatizada, y abierta. Obtener un certificado SSL para tu dominio de sitio web.
Si tienes acceso shell (también conocido como acceso SSH) a tu hospedaje de web usen el cliente ACME llamado Certbot

¿Cual seria la manera de cambiar el enlace de 0.0.0.0:5000 a algo que realmente pareciera un dominio web legitimo?

**Tengo una pregunta y la verdad no se si es muy boba… pero bueno:

Como hago o donde puedo aprender a leer e interpretar todos los datos que aparecen en una captura de informacion, como la que hemos vistio en la clase?
Gracias por la info que me puedan sumistrar.**


¿Qué es SocialFish?
SocialFish es una herramienta creada por Alison Moretto que está disponible de manera gratuita en su perfil en el repositorio de GitHub. Sirve para preparar ataques dirigidos de phishing y hacer una recopilación de información en un montón de perfiles: Facebook, Twitter, LinkedIn, WordPress, GitHub… Permite un clonado exacto de estas páginas y el plato está servido para iniciar la pesca de posibles víctimas.

Instalacion:
CLONE
$ git clone https://github.com/UndeadSec/SocialFish.git
SETUP PYTHON3 & PIP3
$ sudo apt-get install python3 python3-pip python3-dev -y
SETUP PYTHON3 REQUIREMENTS:
$ cd SocialFish
$ python3 -m pip install -r requirements.txt
CHANGE APP SECRET KEY:
File: SocialFish/core/config.py
APP_SECRET_KEY = ‘<CHANGE ME SF>’