Skip to main content
  • Taller: Explorando la simulación de Ataques a APIs
1 of 3

Taller: Explorando la simulación de Ataques a APIs

Fri Nov 8, 2024 2:00 PM - 4:00 PM Ulatina Sede San Pedro

Taller: Explorando la simulación de Ataques a APIs

Fri Nov 8, 2024 2:00 PM - 4:00 PM Ulatina Sede San Pedro

Need help?

Manage tickets

RECORDATORIO QUE PARA ASISTIR AL TALLER SE REQUIERE TENER TIQUETE PARA EN EL PWNEDCR DE LO CONTRARIO SE REASIGNARÁ EL ESPACIO, ENTRADAS EN: https://buytickets.at/pwnedcr/1401663

RECORDATORIO #2: MAXIMO UN TALLER POR PERSONA, SIN EXCEPCIONES. A LAS PERSONAS CON DOS O MAS TALLERES SE PROCEDERA A CANCELARLE LOS TICKETS

Conocimientos Previos Recomendados para el Taller:

(No son estrictamente necesarios, pero ayudarán a aprovechar mejor el contenido práctico)

  • Fundamentos de APIs:
    • Comprensión básica de las APIs y métodos HTTP (GET, POST).
    • Familiaridad con la documentación de APIs.(e.g., endpoints, request/response)
  • Vulnerabilidades Comunes en APIs:
    • Conocimiento de vulnerabilidades clave del OWASP API Security Top 10 (por ejemplo, inyección, autenticación rota).
  • Conceptos de Pruebas de Seguridad:
    • Entendimiento general de pruebas de penetración y seguridad en APIs.

Recursos Requeridos para el Taller "Explorando la Simulación de Ataques a APIs"

Para participar de manera mas efectiva este taller, los siguientes recursos deben estar instalados en su equipo antes del inicio de la sesión:

  1. vAPI
    Este es un entorno de simulación para APIs vulnerables, el cual utilizaremos durante la sesión para realizar los ejercicios prácticos.
    URL: https://github.com/roottusk/vapi
    Instalación:
    • Opción recomendada: Utilización de Docker, siguiendo las instrucciones proporcionadas en el repositorio.
    • Opción manual: Si prefiere no utilizar Docker, también puede realizar una instalación manual, siguiendo los pasos detallados en el enlace.
  2. GoTestWaf
    GoTestWAF es una herramienta para la simulación de ataques a APIs y OWASP que admite una amplia gama de protocolos de API, incluyendo REST, GraphQL, gRPC, SOAP, XMLRPC, entre otros.
    URL: https://github.com/wallarm/gotestwaf
    Instalación:

    • Opción recomendada: Implementación a través de Docker, como se detalla en el repositorio.
    • Opción manual: Si prefiere instalar la herramienta manualmente, puede seguir las instrucciones completas disponibles en el enlace.

Se recomienda utilizar la opción de Docker para una configuración más rápida y sencilla, aunque ambas opciones son válidas.


Descripción: En este taller, se explorará de manera introductoria la simulación de ataques a APIs utilizando una metodología altamente utilizada en la etapa de Thread modeling en los ciclos de desarrollo de software llamada PASTA, que responde a Process for Attack Simulation and Threat Analysis. Se aplicará esta metodología al lado ofensivo como base para el diseño de escenarios de ataques, combinando herramientas y técnicas utilizadas en el lado ofensivo de APIs. El taller culminará con un ejercicio práctico de generación de escenarios de ataque y ejecución de algunos de estos. Este tipo de metodología puede ser utilizada como parte de un red team engagement o como parte de purple team exercises.

Biografía: Yoel Apú Cuenta con más de 8 años de experiencia en testing de aplicaciones web y APIs, tanto desde el lado de desarrollo de software como desde Web Pentesting. Posee certificaciones de la industria como OSCP y es máster en Ciberseguridad. Actualmente se desempeña como Pentesting Team Lead en Equifax.

Location

Ulatina Sede San Pedro