Taller: Explorando la simulación de Ataques a APIs
Fri Nov 8, 2024 2:00 PM - 4:00 PM
Ulatina Sede San Pedro
Description
RECORDATORIO QUE PARA ASISTIR AL TALLER SE REQUIERE TENER TIQUETE PARA EN EL PWNEDCR DE LO CONTRARIO SE REASIGNARÁ EL ESPACIO, ENTRADAS EN: https://buytickets.at/pwnedcr/1401663
RECORDATORIO #2: MAXIMO UN TALLER POR PERSONA, SIN EXCEPCIONES. A LAS PERSONAS CON DOS O MAS TALLERES SE PROCEDERA A CANCELARLE LOS TICKETS
Conocimientos Previos Recomendados para el Taller:
(No son estrictamente necesarios, pero ayudarán a aprovechar mejor el contenido práctico)
- Fundamentos de APIs:
- Comprensión básica de las APIs y métodos HTTP (GET, POST).
- Familiaridad con la documentación de APIs.(e.g., endpoints, request/response)
- Vulnerabilidades Comunes en APIs:
- Conocimiento de vulnerabilidades clave del OWASP API Security Top 10 (por ejemplo, inyección, autenticación rota).
- Conceptos de Pruebas de Seguridad:
- Entendimiento general de pruebas de penetración y seguridad en APIs.
Recursos Requeridos para el Taller "Explorando la Simulación de Ataques a APIs"
Para participar de manera mas efectiva este taller, los siguientes recursos deben estar instalados en su equipo antes del inicio de la sesión:
- vAPI
Este es un entorno de simulación para APIs vulnerables, el cual utilizaremos durante la sesión para realizar los ejercicios prácticos.
URL: https://github.com/roottusk/vapi
Instalación:- Opción recomendada: Utilización de Docker, siguiendo las instrucciones proporcionadas en el repositorio.
- Opción manual: Si prefiere no utilizar Docker, también puede realizar una instalación manual, siguiendo los pasos detallados en el enlace.
- GoTestWaf
GoTestWAF es una herramienta para la simulación de ataques a APIs y OWASP que admite una amplia gama de protocolos de API, incluyendo REST, GraphQL, gRPC, SOAP, XMLRPC, entre otros.
URL: https://github.com/wallarm/gotestwaf
Instalación:- Opción recomendada: Implementación a través de Docker, como se detalla en el repositorio.
- Opción manual: Si prefiere instalar la herramienta manualmente, puede seguir las instrucciones completas disponibles en el enlace.
Se recomienda utilizar la opción de Docker para una configuración más rápida y sencilla, aunque ambas opciones son válidas.
Descripción: En este taller, se explorará de manera introductoria la simulación de ataques a APIs utilizando una metodología altamente utilizada en la etapa de Thread modeling en los ciclos de desarrollo de software llamada PASTA, que responde a Process for Attack Simulation and Threat Analysis. Se aplicará esta metodología al lado ofensivo como base para el diseño de escenarios de ataques, combinando herramientas y técnicas utilizadas en el lado ofensivo de APIs. El taller culminará con un ejercicio práctico de generación de escenarios de ataque y ejecución de algunos de estos. Este tipo de metodología puede ser utilizada como parte de un red team engagement o como parte de purple team exercises.
Biografía: Yoel Apú Cuenta con más de 8 años de experiencia en testing de aplicaciones web y APIs, tanto desde el lado de desarrollo de software como desde Web Pentesting. Posee certificaciones de la industria como OSCP y es máster en Ciberseguridad. Actualmente se desempeña como Pentesting Team Lead en Equifax.
Location
Ulatina Sede San Pedro