Fecha/hora/lugar: 08 de noviembre de 2022 / de 10:00 a 12:00 / Aula Ziur
Contenido de la sesión
En este taller (I/II) se hará uso de una aplicación que simula una moderna (pero insegura) Web de un banco online. Desarrollada en PHP y MySQL, se han incluido vulnerabilidades relacionadas con la lista OWASP Top10 y la lógica de negocio.
Se estudiará cómo detectar, explotar y corregir vulnerabilidades:
- De la lógica de negocio
- DOM-based Cross-Site Scripting (XSS)
- Stored Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
Será necesario que los asistentes tengan instalado Docker Desktop (la aplicación se ejecuta sobre un container Docker) así como Burp Suite (Community Edition), una suite de herramientas especializadas para realizar pruebas de penetración en aplicaciones web.
Ponentes
Juanan Pereira (PhD) imparte clases en la UPV/EHU (Departamento de Lenguajes y Sistemas Informáticos), desde 2008, en las asignaturas de Software Engineering y Sistemas Web. Es corresponsable del Aula ZIUR. Anteriormente, trabajó como ingeniero TIC en la Cámara de Comercio de Gipuzkoa y como director técnico en Arista, una agencia española de desarrollo web. Su tesis doctoral se relacionó con el desarrollo de Babelium Project, una plataforma web para mejorar la expresión oral en segundas lenguas. Sus intereses de investigación se centran en el área de Chatbots, Ingeniería Software de proyectos Open Source y eLearning. Es miembro del Grupo de Investigación Onekin, reconocido como Grupo A por el Gobierno Vasco.