Sec-Track

Assessing and Exploiting Web Applications with Samurai-WTF es nada más y nada menos que un entrenamiento especializado y de alto nivel que se ve solo en espacios como BlackHat.

Como si esto fuera poco los desarrolladores del mismo, han decidido compartir dicho entrenamiento con licencia: Creative Commons Attribution-ShareAlike 3.0 License.

El course outline va de los siguiente:

Day 1 Morning
Testing Methodology
Recon & Map Walkthrough
Target 1: Mutillidae
– Mapping Walkthrough

Day 1 Afternoon
Target 1: Mutillidae
– Discovery Walkthrough
– Exploitation Walkthrough
Target 2: DVWA
– Mapping Walkthrough

Day 2 Morning
Target 2: DVWA
– Discovery Walkthrough
– Exploitation Walkthrough

Day 2 Afternoon
Target 4: Samurai Dojo
– Student Challenge
– Challenge Answers

En definitiva… Más de 200 slides de conocimiento puro…

Ver Online: Evaluación y Explotación de Aplicaciones Web con Samurai Web Testing Framework (Online version)

Descargar Evaluación y Explotación de Aplicaciones Web con Samurai Web Testing Framework (pdf)

El siguiente video corresponde a la conferencia realizada por los investigadores y profesionales en Seguridad de la Información Fernando Quintero y Camilo Zapata. Dos expertos a quienes siempre tengo como referencia en mi país y que hace solo unos días casi ganan uno de los reconocidos challenges del HoneyNet Project.

La presentación parte desde la definición general del concepto Auditoría: “Evaluar las debilidades de un sistema” y nos propone no limitar el alcance de la misma… “No solo explotar el sistema”…

Nos invita a “repensar” o reflexionar sobre el estado de la seguridad de la información… Pero no desde el lado empresarial, sino desde el lado de los actores involucrados (Investigadores, Pentesters, Ethical Hackers, Consultores). Pues existe la mala práctica de muchos “profesionales” que solo limitan sus actividades de Pentesting a la ejecución de herramientas automatizadas y la explotación del mismo, para presentar un reporte de que si pudieron vulnerar el sistema… Es justo allí donde se plantea la reflexión del trabajo que realizamos los investigadores… ¿Qué es lo que quremos hacer?

El siguiente listado no trata de organizar en modo de mayor importancia o sobre cual sea mejor que otra (por eso las organicé alfabéticamente).  Tan solo pone a disposición un completo compendio de eventos que no debemos pasar por alto, no solo por los papers que se liberan, sino por todos los demás materiales que quedan luego de este tipo de eventos (CTF, PPTS, Audios, Videos, Tools, Fotografías, etc). Y ni que decir de la posibilidad de conocer y reunir toda esa calidad humana que trabaja en estas áreas.

Por ahora comienzo con estos, sé que me faltan muchos más, por ello si conoces de otros eventos que estén relacionados con la seguridad de la información, no dudes en enviarlos por medio de los comentarios, para ir sumando a la lista!!

• Blackhat www.blackhat.com
• bruCON www.brucon.org
• BugCon www.bugcon.org
• DEFCON www.defcon.org
• CanSecWest cansecwest.com
• Chaos Communication Congress events.ccc.de/congress
• ChicagoCon www.chicagocon.com
• ConFidence www.confidence.org.pl
• Congreso Hacking Etico en Colombia http://congresohackingetico.com
  
• Dnscon www.dnscon.org
• EISI eisi.umanizales.edu.co
• ekoparty www.ekoparty.org
• H2HC www.h2hc.org.br
• HackerHalted www.hackerhalted.com
• Hacking At Random www.har2009.org
• Hackinthebox http://conference.hackinthebox.org
• HOPE www.thenexthope.org
• Notacon www.notacon.org
• Nullcon www.nullcon.net
• Phreaknic www.phreaknic.info
• /Rooted CON www.rootedcon.es
• SeCurInF securinf.com
• RSA Conference www.rsaconference.com
• SEC-T www.sec-t.org
• Shakacon www.shakacon.org
• ShmooCon www.shmoocon.org
• Summercon www.summercon.org
• thotcon www.thotcon.org
• Toorcon www.toorcon.org
• Virus Bulletin Conference www.virusbtn.com
• x25sec http://x25sec.ccat.edu.mx
• You Sh0t the Sheriff http://ysts.org