Laboratorio de Seguridad Informática

Centro Tecnológico, FES Aragón, UNAM

Talleres de Seguridad Informática y Ciberseguridad

Taller de Hackeo Etico y Pentest (20 hrs.)

    Objetivos



    Conocer las técnicas actuales que utilizan los cibercriminales para atacar a las empresas e instituciones. Aprender de ellas para defenderse y mantenerse protegido.



    Temario

  • Introducción.
    • Conceptos básicos.
    • ¿Que es el Pentesting?.
    • Metodologías.
    • Enfoque, perspectiva y escenarios típicos.
    • Alcance de una prueba de penetración.
    • Fases de ejecución.
  • Reconocimiento Inicial.
    • Objetivo.
    • Recolección de información.
    • Búsquedas en fuentes abiertas .
    • Google Hacking.
    • Ingeniería Social.
    • Consultas en registros públicos y servidores DNS.
    • Herramientas para recolección de información.
    • Ejercicio práctico de reconocimiento.
  • Enumeración
    • Objetivo.
    • Escaneo de puertos TCP/UDP.
    • Creación de una herramienta para enumeración de puertos.
    • Detección de versiones y servicios.
    • Técnicas para detección de Sistemas Operativo.
    • Creación de herramienta para descubrimiento de equipos.
    • Ejercicio práctico de enumeración.
  • Análisis de vulnerabilidades.
    • Objetivo.
    • Identificación de vulnerabilidades.
    • Técnicas manuales y herramientas automatizadas.
    • Diferencias entre vulnerabilidades locales y remotas.
    • Clasificación de riesgos de una vulnerabilidad.
    • Ejercicio práctico de análisis de vulnerabilidades.
  • Explotación de vulnerabilidades.
    • Objetivo.
    • Práctica: Técnicas de explotación en Sistema Operativo Unix / Linux.
    • Práctica: Técnicas de explotación en Sistema Operativo Windows.
    • Práctica: Explotación de vulnerabilidades en aplicaciones Web.
      • Práctica: Explotación de vulnerabilidad "Local File Inclucision (LFI)".
      • Práctica: Explotación de vulnerabilidad "Remote File Inclusion (RFI)".
      • Práctica: Explotación de vulnerabilidad "Local File Inclucision (LFI)".
      • Práctica: Explotación de vulnerabilidad "Cross-Site-Scripting (XSS)".
      • Práctica: Explotación de vulnerabilidad "Server Side Tempalte Injection (SSTI)".
      • Práctica: Explotación de vulnerabilidad "Domain Zone Transfer".
      • Práctica: Explotación de vulnerabilidad "ShellShock".
      • Práctica: Explotación de vulnerabilidad "SQL Injection".
  • Escalación de privilegios.
    • Concepto y Objetivo.
    • Técnicas de explotación para escalación de privilegios.
    • Exploits.
    • Fallos y debilidades comunes.
  • Post- Explotación.
    • Persistencia en el Sistema Operativo.
    • Eliminación de Rastros.
  • Reporteo.
  • Plataformas de entrenamiento y aprendizaje.