hacker way in 50 lecciones - … · agenda cuando queremos realizar cualquier tipo de actividad que...
TRANSCRIPT
Seguridad informática en 50 días YOUR hacker way..
WHOAMI
Daniel Echeverri aka Adastra.Formador, consultor einvestigador de seguridad
informática.
● Blog: thehackerway.com
● Website: thehackerway.es
● Twitter: @jdaanial
● LinkedIn: adastra1
● Telegram: @TheHackerWay
● Email: [email protected]
AGENDA
Cuando queremos realizar cualquier tipo de actividad que implica unnivel de di�cultad medio/alto, es importante seguir una metodología enla que tengamos muy claros los objetivos esperados y cómoconseguirlos.
Metodología de estudio y planteamiento
El plan detallado servirá para tener una bitácora de las actividades adesarrollar y poder medir el progreso.
Plan de estudio detallado
Una vez completado el proceso completo, se procede a sacarconclusiones y determinar los pasos a seguir.
Conclusiones y pasos posteriores
METODOLOGÍA Y PLANTEAMIENTO¿Por qué? ¿Cómo? ¿Objetivos?
1 - ¿Por qué quiero estudiar seguridadinformática? - ¿Cuál es el objetivo de mi estudio?
Motivación y alcance.
2 - Disciplina y autodeterminación. - Constancia y paciencia.- Con�anza en uno mismo.
Habilidades y características personales
3 - ¿Cuáles son mis principales fortalezas ydebilidades?- Evitar el autoengaño. Ser realista.- ¿Qué hago para superar mis falencias ypotenciar mis competencias?
Analisis personal.
ANTES DE EMPEZAR: ¿QUÉ NECESITO?
Personas conintereses comunes.
Recursos técnicos.
Competencias básicas.
Características personales.
4
3
2
1
¡EMPEZAMOS!¡EMPEZAMOS!
ANTES DE EMPEZAR: DÍA CERO.
- Ser constante. - Ser disciplinado.
- Ser metódico. - Ser adaptativo.
- Saber aceptar y superar los fracasos.- No descuidar otras facetas de la vida,
que también son importantes
Características personales.
- Idiomas: preferiblemente inglés.
- Búsqueda de información en
fuentes públicas.
- Uso básico de algún sistema
operativo.
- Uso básico de internet.
- ofimática.
Competencias básicas.
- Un ordenador con mínimo 8GBde RAM y un buen procesador.
- Un sitio cómodo, limpio y aptopara estudiar/trabajar.
- Libros y manuales (impresos odigitales).
- Cursos online y/o presenciales.
Recursos técnicos.
- Grupos de telegram para realizarconsultas (ojo con las normas). - Personas a las que le puedas
preguntar (sin abusar. Busca primeroy pregunta como último recurso).- Asiste a eventos en tu ciudad.
Personas con interesescomunes.
AGENDA: LECCIONES 1 - 5 Configuración del entorno y conocimientos básicos sobre los
principales sistemas operativos.
- Qué es un sistemaoperativo y para qué sirve.
- Cuáles son los
principales sistemasoperativos modernos.
Sistemasoperativos
- Característicasfundamentales de los
sistemas Unix.- Características
fundamentales de lossistemas Windows.
Sistemas Unix yWindows
- Qué es un sistema devirtualización y para qué
sirve. - VirtualBox y VMWare.
Sistemas devirtualización
- Distribuciones basadasen RedHat.
- Distribuciones basadasen Debian.
- Funciones básicas de unsistema GNU/Linux
DistribucionesGNU/Linux - Seleccionar un sistema
basado en Debian(recomendable) como por
ejemplo Ubuntu einstalarlo en VirtualBox.
Mi primera VM
01. 02. 03. 04. 05.
AGENDA: LECCIONES 6 - 10 Configuración del entorno y conocimientos básicos sobre los
principales sistemas operativos.
- Familiarizarse con elentorno grá�co.
- Crear �cheros y documentos
Uso de mi primeraVM GNU/Linux.
- Gestión de �cheros(crear, editar, listar,
comprimir).- Estructura de �cheros ydirectorios especiales del
sistema. - Gestión de usuarios y
permisos.
Comandos básicosen GNU/Linux
- Gestión de paquetes einstalación de software.- Gestión de procesos y
servicios.
Comandos básicosen GNU/Linux
- Distribuciones basadasen RedHat.
- Distribuciones basadasen Debian.
- Funciones básicas de unsistema GNU/Linux
Comandos básicosen GNU/Linux
- Gestión de dispositivos. -Gestión de la memoria,
CPU y otros recursos delordenador.
Comando básicosen GNU/Linux
06. 07. 08. 09. 10.
AGENDA: LECCIONES 16 - 20 Introducción a las redes de ordenadores y protocolos de red..
- Historia de las redes deordenadores.
- Tipologías y dispositivosde red.
- Modelos OSI y TCP/IP- de�nición de protocolos.
Conceptos básicossobre redes.
- Introducción al protocoloTCP.
- Introducción al protocoloUDP.
- Diferencias entre TCP yUDP.
Protocolos TCP yUDP
- Conceptos básicos delprotocolo DNS.
- Conceptos básicos delprotocolo FTP.
Protocolos DNS yFTP
- Conceptos básicos delprotocolo IMAP y del
protocolo POP3 - Conceptos básicos del
protocolo SMTP.
ProtocolosIMAP/POP3 y
SMTP - Conceptos básicos del
protocolo Telnet.-Conceptos básicos del
protocolo SSH.
Protocolos Telnet ySSH
11. 12. 13. 14. 15.
AGENDA: LECCIONES 16 - 20 Introducción a la programación. Bases de algoritmia. Diferentes
lenguajes de programación.
-Programación básica,instrucciones,
condicionales y �ujo de unprograma.
Conceptos básicossobre algoritmia.
- Pseudocódigo,funciones, instrucciones
repetitivas y bucles. - Estructuras de datos.
- Funciones recursivas yalgoritmos básicos de
búsqueda de elementos
Conceptos básicossobre algoritmia
- Diferencias entre lenguajesde programación de alto y
bajo nivel. - Lenguajes de programaciónestructurados y orientados a
objetos.
Lenguajes deprogramación
- Introducción a C- Creación de programas
simples en C.
Lenguajes deprogramación
- Introducción a Python. - Creación de programas
simples en Python.
Lenguajes deprogramación
16. 17. 18. 19. 20.
AGENDA: LECCIONES 21 - 25 Desarrollo web. Plataformas, modelo cliente-servidor. Lenguajes de
programación web. Servicios web.
- Introducción al protocoloHTTP.
- Módelo cliente-servidor.- Diseño básico de páginas
web con HTML. -Fundamentos de
Javascript.
Introducción aldesarrollo web.
- Qué es XML y cómofunciona.
- Qué es JSON y cómofunciona.
- Qué es YAML y cómofunciona
Introducción aldesarrollo web.
- Introducción a Apache WebServer.
- Introducción a PHP - Introducción a MySQL.
Lenguajes deprogramación web
- Creación de una aplicaciónsimple con Apache WebServer, PHP y MySQL.
Lenguajes deprogramación web.
- Introducción a losservicios web.
- Introducción a losservicios REST.
Servicios web.
21. 22. 23. 24. 25.
AGENDA: LECCIONES 26 - 30 Hacking web. OWASP Top 10. Entornos de prácticas. VMs con
vulnerabilidades.
- Introducción a OWASP.- Principales proyectosdisponibles en OWASP
ComunidadOWASP.
- Introducción al OWASPTOP 10
OWASP TOP 10
- Introducción al OWASP TOP10
OWASP TOP 10
- Instalar OWASP BrokenApps.
- Probar Damn VulnerableWeb Application.
Entornos convulnerabilidades
- Probar WebGoat
Entornos convulnerabilidades
26. 27. 28. 29. 30.
AGENDA: LECCIONES 31 - 35 Metodología de un Pentest.
- ¿Qué hace un pentester?- ¿Qué NO hace un
pentester? - Etapas de un pentest.
Marcometodológico.
- Recolección deinformación pasiva.
Footprinting yfingerprinting
- Recolección de informaciónactiva.
Footprinting yfingerprinting
- Tipos de escaneos.- Introducción a Nmap
Enumeración
- Uso de Nmap.
Enumeración
31. 32. 33. 34. 35.
AGENDA: LECCIONES 36 - 40 Metodología de un Pentest.
- Uso de Nmap, scriptsNSE y técnicas de evasión.
Enumeración.
- Introducción aMetasploit Framework.
- Exploit-db
Explotación
- Recolección de informaciónbásica en sistemas windows.
Post-Explotación
- Introducción a MetasploitFramework. - Exploit-db
Explotación
- Recolección deinformación básica ensistemas GNU/Linux.
Post-Explotación
36. 37. 38. 39. 40.
AGENDA: LECCIONES 41 - 50 REPASO!
SISTEMASOPERATIVOS.
REDES. PROGRAMACIÓN YDESARROLLO WEB
SEGURIDAD WEB PENTESTING
41-42. 43-44. 45-46. 47-48. 49-50.
RECURSOS:SISTEMAS OPERATIVOS.
LECCIONES01 - 03.
LECCIONES04-05.
LECCIONES06-10.
- https://www.webopedia.com/TERM/O/operating_system.html- https://en.wikipedia.org/wiki/List_of_operating_systems- https://www.youtube.com/watch?v=5AjReRMoG3Y- https://maslinux.es/distribuciones-mas-estables-5-versiones-de-gnu-linux-que-recomendamos/ - https://es.wikipedia.org/wiki/Virtualizaci%C3%B3n- https://rincondelatecnologia.com/virtualizacion-con-virtualbox/ - https://www.xataka.com/especiales/maquinas-virtuales-que-son-como-funcionan-y-como-utilizarlas- https://www.diversidadyunpocodetodo.com/linux-componentes-de-virtualbox/
- https://hipertextual.com/2017/05/comandos-basicos-imprescindibles-linux - https://www.�ng.edu.uy/inco/cursos/sistoper/recursosLaboratorio/tutorial0.pdf - https://www.hostinger.es/tutoriales/linux-comandos - https://www.youtube.com/watch?v=wBp0Rb-ZJak - http://www.ee.surrey.ac.uk/Teaching/Unix/ - https://www.quora.com/What-are-some-of-the-best-Linux-tutorials-online - https://searchdatacenter.techtarget.com/tutorial/77-Linux-commands-and-utilities-youll-actually-use
RECURSOS:REDES DE ORDENADORES.
LECCIONES11 - 12.
LECCIONES13-15.
- https://www.digitalocean.com/community/tutorials/an-introduction-to-networking-terminology-interfaces-and-protocols - http://www.steves-internet-guide.com/networking/ -https://es.wikibooks.org/wiki/Redes_inform%C3%A1ticas/Protocolos_TCP_y_UDP_en_el_nivel_de_transportehttps://www.cisco.com/c/en/us/solutions/small-business/resource-center/networking/networking-basics.html
SSH- https://www.ssh.com/ssh/protocol/ - https://www.hostinger.com/tutorials/ssh-tutorial-how-does-ssh-work- https://www.youtube.com/watch?v=zlv9dI-9g1UFTP- https://www.youtube.com/watch?v=P2XbH-6_nX0- https://www.youtube.com/watch?v=9UqTiInt0QkIMAP/POP3- https://blog.woodpecker.co/cold-email/smtp-imap/ - https://clouding.io/kb/imap-y-pop3-diferencias-ventajas-y-desventajas/ - https://www.youtube.com/watch?v=TnDAwKu1OfQSMTP- https://www.youtube.com/watch?v=1X3dX2JEhLE DNS- https://www.youtube.com/watch?v=4a3MGDAoljI
RECURSOS:ALGORITMIA.
LECCIONES16 - 18.
LECCIONES19-20.
- https://innovacioneducativa.�les.wordpress.com/2012/10/elementos-bc3a1sicos.pdf - http://www.academia.edu/35983229/Introducci%C3%B3n_a_la_Algoritmia_Cibertec - https://es.slideshare.net/jesus998/introduccin-a-la-algoritmia-18313755 - https://prezi.com/xplkiivep9aw/introduccion-a-la-algoritmia/
PYTHON- http://docs.python.org.ar/tutorial/3/real-index.html - http://www.mclibre.org/consultar/python/- https://tutorial.djangogirls.org/es/python_introduction/- https://alfabetizaciondigital.fundacionesplai.org/course/view.php?id=182 C/C++- https://es.slideshare.net/secretweapon_vk/introduccion-del-lenguaje-c- http://platea.pntic.mec.es/vgonzale/cyr_0204/cyr_01/control/lengua_C/index.htm- http://recursostic.educacion.es/observatorio/web/es/software/programacion/745-introduccion-a-la-programacion-con-el-lenguaje-c- https://cipsa.net/diferencia-c-cplus-introduccion-funciones/- https://es.slideshare.net/angenio2/programacin-1-introduccin-a-c
RECURSOS:DESARROLLO WEB.
LECCIONES21 - 22.
LECCIONES23-25.
PROTOCOLO HTTP - https://www.webopedia.com/TERM/H/HTTP.html- https://es.wikipedia.org/wiki/Protocolo_de_transferencia_de_hipertexto- https://www.youtube.com/watch?v=eesqK59rhGA- https://code.tutsplus.com/tutorials/http-the-protocol-every-web-developer-must-know-part-1--net-31177 HTML Y FORMATOS WEB.- https://frontendlabs.io/1490--json-que-es-json-parse-json-stringify- https://www.youtube.com/watch?v=95X-pHvGBnw - https://www.youtube.com/watch?v=cdLNKUoMc6c- https://www.youtube.com/watch?v=cqMfPS8jPys
JAVASCRIPT, PHP, MYSQL, APACHE - https://www.youtube.com/watch?v=Ukg_U3CnJWI - https://www.youtube.com/watch?v=jOFo3Y_3wwg - https://www.youtube.com/watch?v=R6typ9ozMOo - https://www.youtube.com/watch?v=qWxQC2fcICo REST APIs - https://www.youtube.com/watch?v=7YcW25PHnAA - https://www.youtube.com/watch?v=Q-BpqyOT3a8- https://www.youtube.com/watch?v=K2XciP1jUw0 - https://www.youtube.com/watch?v=pqEONSbXeSQ
RECURSOS:SEGURIDAD WEB.
LECCIONES26 - 28.
LECCIONES29-30.
OWASP- https://www.owasp.org/index.php/Category:OWASP_Project - https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project- https://es.wikipedia.org/wiki/OWASP_Top_10- https://resources.whitesourcesoftware.com/blog-whitesource/owasp-top-10-vulnerabilities- https://blog.sucuri.net/2018/10/owasp-top-10-security-risks-part-i.html- https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf- https://www.youtube.com/watch?v=sQ8JJVCNjLw
VULNERABLE VMS AND WEBAPPS - https://sourceforge.net/projects/owaspbwa/- https://www.youtube.com/watch?v=p7uqu4o3RhY- http://www.reydes.com/d/?q=OWASP_Broken_Web_Applications_Project- https://www.mavensecurity.com/resources/web-security-dojo- https://www.youtube.com/watch?v=lum6bSsyJ38- https://www.owasp.org/index.php?title=OWASP_Project_Inventory&redirect=no
RECURSOS:PENTESTING.
LECCIONES31 - 35.
METODOLOGÍA PENTESTING - https://www.owasp.org/index.php/Penetration_testing_methodologies- https://resources.infosecinstitute.com/penetration-testing-methodologies-and-standards/#gref - https://medium.com/dvlpr/penetration-testing-methodology-part-1-6-recon-9296c4d07c8a - https://www.redteamsecure.com/red-teaming-methodology/ Footprinting and FingerPrinting - http://home.ubalt.edu/abento/453/footscan/footscantools.html - https://es.slideshare.net/jmoc25/footprinting-tools-for-security-auditors - https://www.oreilly.com/library/view/hacker-techniques-tools/9780763791834/ch05.html - https://hackernoon.com/https-medium-com-aamralkar-footprinting-and-reconnaissance-e14010b22a89 Enumeration- https://hkh4cks.com/blog/2018/01/22/common-enumeration-tools/- https://highon.coffee/blog/penetration-testing-tools-cheat-sheet/ - https://www.greycampus.com/opencampus/ethical-hacking/network-scanning - https://nmap.org/book/port-scanning-tutorial.html
RECURSOS:PENTESTING.
LECCIONES36 - 40.
Enumeration - https://nmap.org/book/nse-scripts.html - http://home.ubalt.edu/abento/453/enumeration/enumerationtools.htmlExplotation - https://www.concise-courses.com/hacking-tools/vulnerability-exploitation-tools/ - https://www.tutorialspoint.com/kali_linux/kali_linux_exploitation_tools.htm - https://n0where.net/exploitation-tools- https://github.com/koutto/jok3r- https://hackertarget.com/nessus-openvas-nexpose-vs-metasploitable/ Post-exploitation- https://tools.kali.org/information-gathering/enum4linux - https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/- https://www.offensive-security.com/metasploit-unleashed/post-module-reference/- http://www.pentest-standard.org/index.php/Post_Exploitation - https://www.cybrary.it/0p3n/post-exploitation-techniques/ - https://www.exploit-db.com/docs/english/26000-windows-meterpreterless-post-exploitation.pdf
20%
10%
10%
10%
10%
20%
20%
SISTEMAS OPERATIVOS
NETWORKING
DESARROLLO WEB
SEGURIDAD WEB
DESARROLLO
PENTESTING
REPASO DE TODO
8 10 12 14 16 18 20 22
DISTRIBUCIÓN DE LECCIONES
TÚ MISMO. ¿Esto DE VERDAD me gusta?
Ya has visto lo que hay. Estás dispuesto a dedicartea esto profesionalmente o como hobby
Probablemente vas a pasar un alto porcentaje de tuvida en la profesión que elijas. Asegúrate de que seaalgo que te apasione y te motive.
CONCLUSIONESHe seguido las 50 lecciones y ahora ...
GALLERYGALLERYSLIDESLIDE