Grandes y pequeñas empresas confían en nosotros










Más de 115 Temas para la Formación en Desarrollo de Software Seguro
Este curso cubre las 10 principales vulnerabilidades web de OWASP y adicionales. Se pueden agregar lecciones de vulnerabilidades adicionales si es solicitado.
LLenguajes de Programación Cubiertos
Python
Ruby
PHP
Laravel
C#
.NET
Go
Node.JS
Angular
React
Java
C++
Obtienes más de 115 temas, incluyendo:
Inyección SQL
Inyección SQL
Objetivos
- Aprenda a descubrir y explotar los ataques de inyección SQL.
- Obtenga información sobre cómo protegerse contra ataques de Inyección SQL con consultas parametrizadas.
- Corrija una consulta SQL vulnerable en el idioma que prefiera.
Languages Covered
Inyección NoSQL
Inyección NoSQL
Aprenda cómo los atacantes alteran la intención de las consultas NoSQL (como MongoDB) a través de datos de entrada a la aplicación.Inyección Command
Inyección Command
Objetivos
- Aprenda a descubrir y explotar los ataques de Inyección de Comando.
- Descubra los ataques de red basados en el tiempo y cómo usarlos en el contexto de la inyección de comandos ciega.
- Aprenda a protegerse contra ataques de Inyección de comandos del sistema operativo mediante funciones seguras, validación de entrada y listas blancas.
- Corrija un ataque de inyección de comandos del sistema operativo en su idioma de elección.
- Descubra cómo los atacantes inyectan comandos en el sistema operativo.
Languages Covered
Ejecución remota de código
Ejecución remota de código
Descubra cómo los atacantes ejecutan código arbitrario en su servidor.XSS
XSS
Objetivos
- Obtenga información sobre los ataques reflejados, almacenados y DOM XSS.
- Aprende a descubrir y explotar los ataques XSS.
- Aprenda a protegerse contra ataques XSS mediante la validación de entrada/salida y frameworks.
- Corrige una vulnerabilidad de XSS en el entorno limitado utilizando el idioma que prefieras.
Languages Covered
Pérdida de Autenticación y Gestión de Sesiones.
Pérdida de Autenticación y Gestión de Sesiones.
Objetivos
- Obtenga información sobre la autenticación de forzamiento de brutos y cómo mitigar con la limitación.
- Obtenga información sobre la gestión deficiente de las sesiones y sobre cómo almacenar la información de las sesiones correctamente y por qué no almacenar la información en las cookies.
- Obtenga información sobre cómo almacenar contraseñas y por qué el texto sin formato o un hash simple no es seguro.
- Obtenga información sobre la invalidación de sesiones al cerrar sesión.
- Corrige la forma en que una aplicación web maneja las sesiones en el idioma que prefieras.
Languages Covered
Límites de velocidad de autenticación
Límites de velocidad de autenticación
Obtenga información sobre la autenticación de forzamiento de brutos y cómo mitigar con la limitación.Languages Covered
Administración de sesiones débil
Administración de sesiones débil
Obtenga información sobre la gestión deficiente de las sesiones y sobre cómo almacenar la información de las sesiones correctamente y por qué no almacenar la información en las cookies.Languages Covered
Gestión y almacenamiento de contraseñas
Gestión y almacenamiento de contraseñas
Obtenga información sobre cómo almacenar contraseñas y por qué el texto sin formato o un hash simple no es seguro.Languages Covered
Falsificación de solicitudes entre sitios
Falsificación de solicitudes entre sitios
Objetivos
- Obtenga información sobre cómo descubrir y explotar la falsificación de solicitudes entre sitios.
- Obtenga información sobre cómo protegerse contra ataques CSRF con bibliotecas y nonces de confianza.
Clickjacking
Clickjacking
Pérdida de Control de Acceso
Pérdida de Control de Acceso
Descubre cómo los atacantes omiten los controles de acceso para hacer algo que no están autorizados.Languages Covered
Configuración de Seguridad Incorrecta
Configuración de Seguridad Incorrecta
Objetivos
- Comprender los peligros de la exposición a la información (servidor web y versión, rastros de pila, índice de páginas, etc.)
- Aprenda la importancia de no usar nombres de usuario y contraseñas predeterminados.
Exposición de Datos Sensibles
Exposición de Datos Sensibles
Descubra cómo los atacantes obtienen acceso a datos confidenciales al ser un hombre en el medio o atacar el encriptación.Practicas Recomendadas de Encriptación
Practicas Recomendadas de Encriptación
Descubra cómo los atacantes obtienen acceso a datos confidenciales al ser un hombre en el medio o atacar el encriptación.Uso de Componentes con Vulnerabilidades Conocidas
Uso de Componentes con Vulnerabilidades Conocidas
Objetivos
- Aprenda a usar la configuración incorrecta de seguridad (exponiendo trazas de pila) para descubrir bibliotecas que se sabe que son vulnerables.
- Aprovechar correctamente una biblioteca vulnerable descrita en un CVE.
- Conozca las prácticas recomendadas para mantener las bibliotecas actualizadas con los parches de seguridad.
API No Protegidas
API No Protegidas
Descubra cómo los atacantes intentan explotar las API a través de métodos como inyección, XSS y recorrido por directorios.Entidades Externas XML (XXE)
Entidades Externas XML (XXE)
Objetivos
- Aprende a descubrir y explotar los ataques XXE.
- Cree una carga XML que roba el /etc/passwd de su entorno limitado y roba una clave secreta de un servicio interno en la red del entorno limitado.
- Aprenda a protegerse contra ataques XXE con la configuración adecuada del analizador.
- Corrija un analizador XML vulnerable en su entorno limitado utilizando el idioma de su elección.
Languages Covered
Desbordamiento de Búfer
Desbordamiento de Búfer
Descubra cómo los atacantes intentan aprovechar las vulnerabilidades de desbordamiento de búfer en aplicaciones nativas. Incluyendo desbordamiento de pila, cadena de formato y vulnerabilidades off-by-one.Desbordamiento de Memoria
Desbordamiento de Memoria
Descubra cómo los atacantes intentan aprovechar las vulnerabilidades de desbordamiento de memoria en aplicaciones nativas.Lecciones Avanzadas
Estas lecciones se basan en vulnerabilidades encontradas en aplicaciones reales del programa de recompensas de errores de HackerOne.
Clickjacking
HVulnerabilidad de clickjacking altamente inflamable en la tarjeta de reproductor de Twitter.
Blind XXE
XXE en la función de auditoría del sitio que expone el contenido del archivo y del directorio.
Ejecución Remota de Código
Ejecución remota de código mediante inyección de comando a 'gm convert' en la funcionalidad de recorte de imagen.
Inyección SQL con SQLMap
Inyección SQL compleja en www.drivegrab.com
XSS Usando PostMessage
Robar datos de formulario de contacto en hackerone.com usando Marketo Forms XSS.
Vulnerabilidades públicas incluidas
HackEDU tiene sandboxes con vulnerabilidades públicas para aprender técnicas ofensivas y defensivas del mundo real en un entorno seguro y legal.
Drupalgeddon2
Este sandbox replica una vulnerabilidad pública de ejecución remota de código (RCE) en Drupal (CVE-2018-7600).
Struts
Este sandbox replica una vulnerabilidad pública de ejecución remota de código (RCE) en Apache Struts 2 (CVE-2018-11776).
Zip Slip
Este sandbox replica vulnerabilidades públicas con software de archiving.
Enfoque ofensivo
Se ha demostrado que es más eficaz y más atractivo que el entrenamiento defensivo.
Ahorre Tiempo Para Desarrolladores
Este entrenamiento tiene un 440% de retorno de inversión ahorrando tiempo del desarrollador. Los desarrolladores pueden realizar las lecciones en su propio ritmo y en cualquier momento.
Rendición de cuentas con correcciones de código
Los desarrolladores deben corregir correctamente el código vulnerable para poder pasar las lecciones. Para capacitar a los desarrolladores de manera efectiva es necesario que programen.
Gamificación
Los desarrolladores pueden competir, desafiar y ganar puntos al estilo de los retos de atrapar la bandera. Esto los hace querer involucrarse en las prácticas de programación segura.
Certificar desarrolladores
Los desarrolladores obtienen la certificación HackEDU luego de parchar todas las vulnerabilidades en cada una de las lecciones.
Cumplimiento
Conocer y administrar los requisitos de capacitación para desarrolladores PCI-DSS, NIST 800-53, SOC e HIPAA/HITRUST.
Formación interactiva y práctica
Las lecciones de video y PowerPoint no son suficientes. Los desarrolladores son los encargados de solucionar problemas reales y estos aprenden mejor a través de escenarios prácticos y realistas.
Pruebe nuestra demostración de SQL Injection para conocer cómo funciona la plataforma de formación. No se requiere ninguna cuenta ni configuración.
Panel de Administración
El Panel de control de equipos de HackEDU facilita la gestión y el seguimiento de la formación de su organización.


Características del Panel de Control
- Supervisa el progreso de tu equipo
- Programe el entrenamiento de sus equipos para adaptarse a sus necesidades
- Configurar inicio de sesión SSO o a bordo con correo electrónico/contraseña
- Generar certificados para auditorías de cumplimiento
Beneficios de la Capacitación en Desarrollo Seguro

Alto Compromiso con los Desarrolladores

¿Por qué Capacitación de Desarrollo Seguro?

Detener Vulnerabilidades de Repetición
Precios
Wow, realmente gran producto! Gran plataforma de aprendizaje muy superior a cualquier cosa que está por ahi ahora.
1-9 Desarrolladores
Plan de Inicio

Incluye:
- Todas las Lecciones de Seguridad de Aplicaciones
- Certificados de Requisitos de Conformidad
- Todos los Entornos de Práctica del Mundo Real
- Panel de Administración
- Acceso Anticipado a Nuevos Lanzamientos de Cursos
- Acceso Completo por 1 Año

Lo que he aprendido desde que me registré en HackEDU ha demostrado ser inestimable en términos de proteger a uno de nuestros principales clientes contra el robo de datos. Esta semana he estado limpiando varios problemas de autenticación rotos en su sitio usando la información que he aprendido justo del curso!
Explotar y luego arreglar el código es genial. Manos arriba y ojos abiertos, me encanta.
Realmente me encanta el hecho de que se puede vivir parche de la aplicación. Realmente me gusta lo fácil que esto hace ver y entender el problema.