Web API Exploitation

Aprenda as principais técnicas para a realização de testes de invasão (Pentest) em APIs Web seguindo as melhores práticas do mercado como Owasp Top 10 (Web e API Security), bem como a experiência prática no dia a dia de realização de Pentest em APIs Web e Mobile.

Dificuldade

Carga horária

40 horas

Disponibilidade

Em breve

Idioma

Português

Programa de estudos

  1. Fundamentos Web
  2. Inspeção de tráfego web com Burp Community
  3. Criação de requisições com SOAPUI e Postman
  4. Emulação de dispositivo Android
  5. Interceptação de tráfego Web Mobile com Burp Community
  6. Quebrando pinagem de certificado Android
  7. O que é API?
  8. Padrões de API
  9. Reconhecimento de informações em API
  10. Web Crawling com TurboSearch
  11. Autenticação e Autorização
  12. Token e Cookies
  13. Introdução ao OAuth
  14. Explorações em Autenticação, Autorização, JWT e OAuth
  15. Explorações comuns em API (IDOR, Rate limits entre outros)
  16. Explorações Web tradicionais em APIs
  17. OWASP API Security Top 10
  18. OWASP Web Top 10
  19. Check-list OWASP
Veja a ementa completa aqui

Treinamento 100% prático é destinado aos profissionais de TI que desejam se aperfeiçoar na área de Pentest e de Segurança Ofensiva, pois aborda técnicas de invasão em diferentes arquiteturas de APIs Web. O Treinamento foi inteiramente modelado conforme as recomendações da OWASP bem como da experiência prática no dia a dia de realização de Pentest em APIs Web e Mobile. Durante o treinamento são explorados os conceitos da Owasp Top 10 (Web e API Security) para a realização de um pentest, indo desde o reconhecimento inicial através das enumerações passivas e agressivas, captura de tráfego web mesmo em aplicativos Android com certificado pinado até as explorações mais conhecidas como Sql Injection, Insecure Deserialization, Insecure Direct Object References (IDOR), Token JWT e muito mais.

Este treinamento tem por objetivo desenvolver as seguintes habilidades:

  • Integarir com APIs Web
  • Identificar qual o padrão de API utilizada
  • Enumerar e identificar pontos de interação com a API
  • Ferramental utilizado pelos desenvolvedores que auxiliam no processo de teste de invasão
  • Entendimento da interação com as APIs por parte de dispositivos Móveis Android
  • Montagem de um ambiente de trabalho para testes de invasão em APIs e Mobile
  • Entendimento do OWASP Top 10 API Security
  • Entendimento e exploração das principais vulnerabilidades apontadas em relatório de teste de invasão
  • Conhecimento intermediário em Windows e Linux
  • Conceitos básicos de arquitetura Web
  • Conhecimento básico de programação como: variáveis, laços, funções e etc.

Instrutor

Heitor Matos

(h4cknc0d3)

Engenheiro de computação formado pelo Instituto Militar de Engenharia (IME), com especialização em Segurança Cibernética, além de possuir as certificações CEH Master e SCFE. Com mais de 5 anos de experiência em Centros de Tratamento de Incidentes de Rede, concentra-se em Segurança Ofensiva e Perícia Forense Computacional, com habilidades específicas em Análise de Vulnerabilidade, Pentest, Análise de Malware e Forense Computacional. Também atua como instrutor oficial de certificações internacionais da EC-Council.

Saiba mais

Dúvidas mais frequentes

O treinamento será gravado?

Todos os treinamentos da Sec4US são gravados e disponibilizados aos alunos no final de cada dia. Tudo isso sem nenhum custo adicional.

Adquirindo este treinamento tenho acesso a quanto tempo do Laboratório de Pentest Brasileiro?

Cada treinamento da Sec4US lhe dá o acesso a 3 meses do laboratório de pentest. Sendo acumulativo em caso de aquisição de mais de um treinamento.

A Sec4US vende para governo?

Sim, já realizamos a venda dos treinamentos para diversos órgãos governamentais, como tribunais de justiça, ministério público e etc. Sendo assim temos todos os requisitos e documentação necessária para realizar este tipo de venda.

A Sec4US emite Certificado e Nota Fiscal?

Sim. São emitidos o certificado após a conclusão do treinamento, bem como a Nota Fiscal no momento da compra.