CONTENIDO

MÓDULO 1. Mentalidad del Atacante Web (2 horas)

Objetivo: Cambiar el chip: de usuario/desarrollador → atacante.

¿Cómo piensa un atacante web?
Superficie de ataque en aplicaciones web
Errores comunes del desarrollador
Ciclo de ataque web (Recon → Exploit → Impacto)
Tipos de atacantes (script kiddie, bug hunter, APT)
Introducción a OWASP Top 10

🧠 Ejercicio: Identificar vectores de ataque en una web real

MÓDULO 2. Fundamentos Técnicos Web para Atacar (3 horas)

Objetivo: Entender cómo funciona lo que vamos a romper

HTTP/HTTPS en profundidad
Métodos HTTP y abuso (GET, POST, PUT, DELETE)
Headers sensibles y mal configurados
Cookies, sesiones y tokens

🧪 Lab: Manipulación manual de requests

MÓDULO 3. Reconocimiento y Enumeración Web (4 horas)

Objetivo: Obtener información sin tocar el código.

Fingerprinting de tecnologías
Descubrimiento de rutas y endpoints ocultos
Enumeración de APIs REST
Análisis de JavaScript del lado cliente
Errores verbosos y fugas de información

🧪 Lab: Enumeración completa de una app vulnerable

MÓDULO 4. Ataques del Lado Cliente (3 horas)

Objetivo: Atacar desde el navegador del usuario.

XSS (Reflected, Stored, DOM)
Robo de cookies y sesiones
Abuso de LocalStorage y SessionStorage

🧪 Lab: XSS con impacto real

MÓDULO 5. Inyecciones Web (5 horas)

Objetivo: El pan de cada día del hacking web.

SQL Injection (clásica, blind, time-based)
Command Injection
SSTI (Server-Side Template Injection)

🧪 Lab: Explotación de SQLi hasta obtener control de datos

MÓDULO 6. Manipulación de Requests y Lógica de Negocio (4 horas)

Objetivo: Romper reglas que el sistema “cree” que existen.

Manipulación de parámetros
Bypass de validaciones del frontend
IDOR (Insecure Direct Object Reference)
Escalada de privilegios
Ataques a flujos de negocio (lógica rota)

🧪 Lab: Acceso a datos de otros usuarios

MÓDULO 7. Autenticación, Sesiones y Tokens (2 horas)

Objetivo: Tomar cuentas sin saber contraseñas.

Fuerza bruta y credential stuffing
Bypass de login
Fallas en JWT
OTP mal implementado
Race conditions en autenticación

🧪 Lab: Secuestro de sesión

MÓDULO 8. Introducción al Post-Explotación Web (1 hora)

Objetivo: ¿Qué sigue después del acceso?

Evidencia y reporting ético

Hacking Web desde cero: Pensar como Atacante

El curso recorre el camino completo de un ataque real: desde el reconocimiento pasivo y la enumeración de activos, pasando por la explotación de vulnerabilidades críticas (como Inyecciones SQL y XSS), hasta el compromiso de la lógica de negocio y la post-explotación. Todo el aprendizaje se consolida mediante laboratorios prácticos donde se manipulan peticiones en tiempo real para vulnerar sistemas controlados.
El curso busca que el estudiante sea capaz de:

Adoptar la Mentalidad Ofensiva: Dejar de ver las aplicaciones como herramientas funcionales para verlas como superficies de ataque compuestas por vectores de entrada.

Dominar el Protocolo HTTP/S: Comprender a nivel granular cómo se intercambia la información para interceptar y manipular el tráfico entre el cliente y el servidor.

Identificar el OWASP Top 10: Reconocer y explotar las vulnerabilidades más críticas y frecuentes en la industria actual.

Ejecutar Pruebas de Penetración (Pentesting): Realizar un ciclo completo de ataque (Reconocimiento, Descubrimiento, Explotación y Reporte) de manera ética y profesional.

Explotar Fallos de Lógica: Detectar errores en el flujo de negocio que las herramientas automatizadas no pueden encontrar (como el acceso a datos de otros usuarios o bypass de pagos).
Este curso está dirigido a:

Desarrolladores Web que buscan crear código seguro.

Analistas de QA interesados en pruebas de seguridad.

Estudiantes de Ciberseguridad que desean práctica real en pentesting.

Administradores de Sistemas/DevOps enfocados en endurecer sus apps.

Hacking Web desde cero: Pensar como Atacante

Descripción

Duración

Objetivos

Audiencia