Web API Exploitation

Aprenda as principais técnicas para a realização de testes de invasão (Pentest) em APIs Web seguindo as melhores práticas do mercado como Owasp Top 10 (Web e API Security), bem como a experiência prática no dia a dia de realização de Pentest em APIs Web e Mobile.

Dificuldade

Carga horária

40 horas

Disponibilidade

Ao vivo via internet

Idioma

Português

Próximas turmas

Datas:

31/01/2022 - 06/02/2022

Horários:

19:00 - 23:00

Metodologia:

Online

Observações:

Turma com aulas durante a semana e final de semana conforma abaixo:

Dias: 31/01 a 04/02
Horário: 19h às 23h

Dias: 05/02 a 06/02
Horário: 08h às 18h

Ir para a loja

Programa de estudos

  1. Fundamentos Web
  2. Inspeção de tráfego web com Burp Community
  3. Criação de requisições com SOAPUI e Postman
  4. Emulação de dispositivo Android
  5. Interceptação de tráfego Web Mobile com Burp Community
  6. Quebrando pinagem de certificado Android
  7. O que é API?
  8. Padrões de API
  9. Reconhecimento de informações em API
  10. Web Crawling com TurboSearch
  11. Autenticação e Autorização
  12. Token e Cookies
  13. Introdução ao OAuth
  14. Explorações em Autenticação, Autorização, JWT e OAuth
  15. Explorações comuns em API (IDOR, Rate limits entre outros)
  16. Explorações Web tradicionais em APIs
  17. OWASP API Security Top 10
  18. OWASP Web Top 10
  19. Check-list OWASP
Veja a ementa completa aqui

Treinamento 100% prático é destinado aos profissionais de TI que desejam se aperfeiçoar na área de Pentest e de Segurança Ofensiva, pois aborda técnicas de invasão em diferentes arquiteturas de APIs Web. O Treinamento foi inteiramente modelado conforme as recomendações da OWASP bem como da experiência prática no dia a dia de realização de Pentest em APIs Web e Mobile. Durante o treinamento são explorados os conceitos da Owasp Top 10 (Web e API Security) para a realização de um pentest, indo desde o reconhecimento inicial através das enumerações passivas e agressivas, captura de tráfego web mesmo em aplicativos Android com certificado pinado até as explorações mais conhecidas como Sql Injection, Insecure Deserialization, Insecure Direct Object References (IDOR), Token JWT e muito mais.

Este treinamento tem por objetivo desenvolver as seguintes habilidades:

  • Integarir com APIs Web
  • Identificar qual o padrão de API utilizada
  • Enumerar e identificar pontos de interação com a API
  • Ferramental utilizado pelos desenvolvedores que auxiliam no processo de teste de invasão
  • Entendimento da interação com as APIs por parte de dispositivos Móveis Android
  • Montagem de um ambiente de trabalho para testes de invasão em APIs e Mobile
  • Entendimento do OWASP Top 10 API Security
  • Entendimento e exploração das principais vulnerabilidades apontadas em relatório de teste de invasão
  • Conhecimento intermediário em Windows e Linux
  • Conceitos básicos de arquitetura Web
  • Conhecimento básico de programação como: variáveis, laços, funções e etc.

Instrutor

Helvio Junior

(M4v3r1ck)

Red Team Tech Lead e Criador da Sec4US Treinamentos, atua com os mais variados testes de segurança (Web, API, Mobile, Exploitation e etc...). Detentor das principais certificações de segurança do mercado: OSED, OSWE, OSCE, OSCP, eMAPT, eCXD, CEH

Saiba mais

Dúvidas mais frequentes

O treinamento será gravado?

Todos os treinamentos da Sec4US são gravados e disponibilizados aos alunos no final de cada dia. Tudo isso sem nenhum custo adicional.

Adquirindo este treinamento tenho acesso a quanto tempo do Laboratório de Pentest Brasileiro?

Cada treinamento da Sec4US lhe dá o acesso a 3 meses do laboratório de pentest. Sendo acumulativo em caso de aquisição de mais de um treinamento.

A Sec4US emite Certificado e Nota Fiscal?

Sim. São emitidos o certificado após a conclusão do treinamento, bem como a Nota Fiscal no momento da compra.