Home
Consultoria
Treinamentos
Certificações
Calendário
Loja
Cheat Sheets
Quem somos
Contato

Web API Exploitation

Aprenda as principais técnicas para a realização de testes de invasão (Pentest) em APIs Web seguindo as melhores práticas do mercado como Owasp Top 10 (Web e API Security), bem como a experiência prática no dia a dia de realização de Pentest em APIs Web e Mobile.

Dificuldade

Carga horária

40 horas

Disponibilidade

Em breve

Idioma

Português

Quer ser avisado sobre novas turmas?

Registre seu interesse neste treinamento e entraremos em contato assim que novas datas forem abertas.

Registrar interesse

Programa de estudos

  1. Fundamentos Web
  2. Inspeção de tráfego web com Burp Community
  3. Criação de requisições com SOAPUI e Postman
  4. Emulação de dispositivo Android
  5. Interceptação de tráfego Web Mobile com Burp Community
  6. Quebrando pinagem de certificado Android
  7. O que é API?
  8. Padrões de API
  9. Reconhecimento de informações em API
  10. Web Crawling com TurboSearch
  11. Autenticação e Autorização
  12. Token e Cookies
  13. Introdução ao OAuth
  14. Explorações em Autenticação, Autorização, JWT e OAuth
  15. Explorações comuns em API (IDOR, Rate limits entre outros)
  16. Explorações Web tradicionais em APIs
  17. OWASP API Security Top 10
  18. OWASP Web Top 10
  19. Check-list OWASP
Veja a ementa completa aqui
Sobre o treinamento
Habilidades
Requisitos

Treinamento 100% prático é destinado aos profissionais de TI que desejam se aperfeiçoar na área de Pentest e de Segurança Ofensiva, pois aborda técnicas de invasão em diferentes arquiteturas de APIs Web. O Treinamento foi inteiramente modelado conforme as recomendações da OWASP bem como da experiência prática no dia a dia de realização de Pentest em APIs Web e Mobile. Durante o treinamento são explorados os conceitos da Owasp Top 10 (Web e API Security) para a realização de um pentest, indo desde o reconhecimento inicial através das enumerações passivas e agressivas, captura de tráfego web mesmo em aplicativos Android com certificado pinado até as explorações mais conhecidas como Sql Injection, Insecure Deserialization, Insecure Direct Object References (IDOR), Token JWT e muito mais.

Este treinamento tem por objetivo desenvolver as seguintes habilidades:

  • Integarir com APIs Web
  • Identificar qual o padrão de API utilizada
  • Enumerar e identificar pontos de interação com a API
  • Ferramental utilizado pelos desenvolvedores que auxiliam no processo de teste de invasão
  • Entendimento da interação com as APIs por parte de dispositivos Móveis Android
  • Montagem de um ambiente de trabalho para testes de invasão em APIs e Mobile
  • Entendimento do OWASP Top 10 API Security
  • Entendimento e exploração das principais vulnerabilidades apontadas em relatório de teste de invasão
  • Conhecimento intermediário em Windows e Linux
  • Conceitos básicos de arquitetura Web
  • Conhecimento básico de programação como: variáveis, laços, funções e etc.

Instrutor

Heitor Matos

(h4cknc0d3)

Engenheiro de computação formado pelo Instituto Militar de Engenharia (IME), com especialização em Segurança Cibernética, além de possuir as certificações OSCP+, Pentest+, CARTE, CARTP, CRTP, CEH (Master), SCFE. Com mais de 7 anos de experiência, concentra-se em Segurança Ofensiva e Perícia Forense Computacional, com habilidades específicas em Análise de Vulnerabilidade, Pentest, Análise de Malware e Forense Computacional.

Saiba mais

Dúvidas mais frequentes

O treinamento será gravado?

Todos os treinamentos da Sec4US são gravados e disponibilizados aos alunos no final de cada dia. Tudo isso sem nenhum custo adicional.

Adquirindo este treinamento tenho acesso a quanto tempo do Laboratório de Pentest Brasileiro?

Cada treinamento da Sec4US lhe dá o acesso a 3 meses do laboratório de pentest. Sendo acumulativo em caso de aquisição de mais de um treinamento.

A Sec4US vende para governo?

Sim, já realizamos a venda dos treinamentos para diversos órgãos governamentais, como tribunais de justiça, ministério público e etc. Sendo assim temos todos os requisitos e documentação necessária para realizar este tipo de venda.

A Sec4US emite Certificado e Nota Fiscal?

Sim. São emitidos o certificado após a conclusão do treinamento, bem como a Nota Fiscal no momento da compra.

Condições para Confirmação e Alteração de Datas das Turmas

As datas das turmas divulgadas em calendário poderão ser alteradas caso não seja atingido o número mínimo de alunos necessário para a realização do treinamento.