Seguridad en APIs y el nuevo Top 10

Se ha publicado una nueva versión de OWASP API Security Top 10, luego de cuatro años de su primera publicación. La evolución en el uso de APIs aumentó muchísimo, con nuevos protocolos, proveedores, integraciones y por supuesto nuevos ataques. En esta charla cubriremos los cambios en el Top 10 y cómo crear conciencia sobre los problemas de seguridad de las API modernas.

Identificación y explotación de vulnerabilidades en WebSockets

En esta charla comentamos acerca del uso de WebSockets, cómo ha evolucionado su uso en los últimos años, qué consideraciones tener en cuenta al momento de utilizar esta tecnología, y sus aspectos de seguridad, cómo identificar y explotar vulnerabilidades comunes en WebSockets.

Lecciones aprendidas sobre GraphQL

En esta charla compartiremos una metodología simple y práctica para analizar GraphQL desde el punto de vista seguridad. Explicando cómo funciona, las diferencias entre una API REST tradicional para luego identificar vulnerabilidades comunes de forma manual y automática, haciendo uso de herramientas gratuitas y scripts.

OWASP Top 10 Web 2021

Una nueva versión del famoso OWASP Top 10 Web ha sido publicada, varios cambios se pueden evidenciar, en la evolución y riesgos asociados a la seguridad de las aplicaciones Web. En una charla reflexiva e informativa, veremos cómo fue cambiando entre las versiones, qué tener en cuenta y cómo mitigar los nuevos riesgos.

DevSecOps sin un mango - Nerdearla 2021

La intención del workshop es mostrar y orientar a los equipos de Desarrollo, Seguridad y DevOps, entre otros, que quieran comenzar en DevSecOps, asegurar sus aplicaciones o conocer un poco más acerca del desarrollo seguro. Brindaremos tips e información que aprendimos para armar un Pipeline DevSecOps básico. Mediante la utilización de diferentes herramientas open-source, que permiten realizar análisis del tipo SAST y DAST de forma totalmente automatizada en la infraestructura de la organización. Logrando reducir los tiempos de análisis y pruebas en las diferentes etapas, desarrollo, prueba y producción.

Burp Suite & Web Security Academy

En este Workshop aprenderemos a usar Burp Suite desde el inicio, cómo configurarlo, aprovechar las herramientas y funcionalidades existentes, usaremos las extensiones más conocidas mientras repasamos algunos laboratorios del Web Security Academy. [Intro a Burp Suite en otros slides]

Introducción a Burp Suite Community (Workshop)

En conjunto a Córdoba Hacker Space hicimos una Introducción a Burp Suite Community. Se cubrieron desde temas básicos, configuración esenciales, extensiones más comunes, buenas prácticas y recomendaciones para aquellas personas que quieran comenzar en el mundo de la seguridad en aplicaciones.

Burp Suite Exporter (Extension)

Exporter is a free Burp Suite extension to copy a request to the clipboard as multiple programming languages functions. You can export as: cURL, Wget, Python Request, Perl LWP, PHP HTTP_Request2, Go Native, NodeJS Request, jQuery AJAX, PowerShell.

Explotación y Prevención de SSTI (H1 Meetup Buenos Aires)

H1 Meetup Buenos Aires - Argentina. Las aplicaciones modernas utilizan plantillas para agilizar tiempos, mostrar contenido de forma ordenada y estructurada para hacer más sencilla la vida de los desarrolladores, sin embargo, algunos motores e implementaciones son vulnerables a inyecciones, permitiendo interactuar de forma directa con el motor o inclusive la ejecución remota de código. En esta charla aprenderemos a cómo detectar estas vulnerabilidades, automatizar su búsqueda y prevenir este tipo de vulnerabilidades.

OWASP API Security Top 10

OWASP API Security Top 10 focaliza en estrategias y soluciones para entender y mitigar las vulnerabilidades y riesgos de seguridad de APIs. OWASP publicó en septiembre 2019 se publicó la versión Release Candidate (RC) con el objetivo de ayudar a mejorar cómo las empresas protegen sus datos, aplicaciones, empleados y clientes.

Explotación y Prevención de SSTI

Las aplicaciones modernas utilizan plantillas para agilizar tiempos, mostrar contenido de forma ordenada y estructurada para hacer más sencilla la vida de los desarrolladores, sin embargo, algunos motores e implementaciones son vulnerables a inyecciones, permitiendo interactuar de forma directa con el motor o inclusive la ejecución remota de código. En esta charla aprenderemos a cómo detectar estas vulnerabilidades, automatizar su búsqueda y prevenir este tipo de vulnerabilidades.

Controles proativos para proteger seu código e implementações

O mundo está se tornando automatizado. A inteligência artificial é vista em nossos telefones, dispositivos domésticos inteligentes e até em nossos carros. É uma vantagem, por conveniência, ser capaz de lidar com certas tarefas por comandos de voz em vez de interação manual, que tanto indivíduos como empresas usam para facilitar a vida. O risco cresce exponencialmente, por isso é necessário garantir nossas implementações desde o início. Nesta palestra identificaremos os 10 principais controles críticos para lidar com importantes riscos de segurança.

Charla - Ethical Hacking - Universidad de Morón

HTTP CSP: Errores comunes y lecciones aprendidas

La cabecera HTTP Content-Security-Policy (CSP) es una capa adicional que permite a los desarrolladores detectar y mitigar ciertos tipos de ataques de inyección de código, como por ejemplo Cross-Site Scripting (XSS). En esta charla se verán los beneficios, cómo implementar correctamente la política, reducir el riesgo de explotación y escenario de ataque, a través de ejemplos reales y herramientas para la generación de pruebas de seguridad.

Introducción al Penetration Testing con Herramientas Libres

Introducción ISO-IEC 27001

Breve Introducción a ISO/IEC 27001, cómo asegurar la Información en el sector Industrial y Empresarial. Abordamos definiciones conceptuales, importancia de la Seguridad de la Información, dominios de la Norma ISO/IEC 27001 y cumplimiento Internacional de la Protección de Datos.

Introduccion a OWASP Top Ten 2017

OWASP (Open Web Application Security Project) es una organización sin fines de lucro, que proporciona recursos gratuitos para la comunidad como ser guías de desarrollo seguro, guías de pruebas de seguridad y herramientas. OWASP Top Ten es un documento de los diez riesgos de seguridad más importantes en aplicaciones web según la organización.

Charla - Ethical Hacking - 404 Zone

Introducción Penetration Testing

La Universidad Siglo 21 organizó una jornada sobre Derecho Informático y Ciberdelitos, el 15 de Septiembre en su sede de Buenos Aires, ubicada en Av. Córdoba 1551. La temática del evento es acerca de nuevas tendencias en ciberdelitos, y las estrategias sobre cómo evitar ciertos ataques desde una mirada de la ciberseguridad, en el marco nacional, internacional y en el sector privado.

Revolucion Blockchain (EEFF 2017- IAIA)

VII Jornada sobre Control Interno y Riesgo en Entidades Financieras. 3 y 4 de Agosto de 2017. En el Consejo Profesional de Ciencias Económicas de la Ciudad de Buenos Aires, Argentina.

Security in Docker: More than containers

During this talk we will see the benefits of using Docker, how it works, building and testing your deployment and configurations; finally the security risks and challenges related to identify vulnerabilities before and after the implementation.

HTTP/2 Overview - A journey by RFC

In this journey by RFC 7540 we will talk about the principles of HTTP/2, how it works, benefits, improvements, difference between HTTP/1.1, HTTP frames, streams, multiplexing. New security considerations and potential attacks to this binary protocol.

CABASE Internet Day (Argentina)

CABASE Internet Day (Argentina) 15 y 16 de Mayo 2017 Video: https://youtu.be/NAeLgy9Bl-M?t=6150 http://www.internetday.com.ar

Pentest con herramientas open sources

1hackparaloschicos

Es una jornada de seguridad de la información con fines solidarios. Tenemos presencia en las principales redes sociales, desde las cuales se comunican los avances de cada jornada y se mantiene una cercana relación con todos los profesionales que apoyan la jornada y el público en general.