Programas / Seguridad ofensiva / Diplomado en Auditoría web avanzada y OWASP

Auditoría web avanzada y OWASP

Lleva la auditoría web al nivel experto: explota inyecciones avanzadas, SSRF, fallos de lógica y APIs siguiendo OWASP.

Duración

280 Horas

Módulos

16 Módulos

Dificultad

Curso

Modalidad

Online

appsec@isecd:~/owasp-audit

# Auditoría web avanzada — mapeo de la aplicación

$ffuf -u https://app.cliente.com/FUZZ -w api.txt

✓ 64 rutas — endpoint /api/graphql expuesto

# Fase 1 — APIs y autorización

$graphql introspection → query schema

⚠ IDOR: acceso a pedidos de otros usuarios

# Fase 2 — Inyección del lado servidor

$POST /render → name={{7*7}}

→ respuesta: 49 — Server-Side Template Injection

$payload SSTI → {{config.__class__}}

✓ Ejecución remota de código confirmada

# Fase 3 — Impacto

→ lectura de variables de entorno y secretos

✓ Cadena IDOR → SSTI → RCE documentadaRCE · SSTI

Auditoría web avanzada aplicada a aplicaciones reales

FORMACIÓN PROFESIONAL

Domina la auditoría web avanzada con metodología OWASP

Seis pilares que estructuran una auditoría web avanzada de nivel profesional.

El Diplomado en Auditoría web avanzada y OWASP es una formación de 280 horas diseñada para profesionales que quieren auditar aplicaciones web complejas con rigor. Combina explotación de inyecciones avanzadas, auditoría de APIs REST y GraphQL y fallos de lógica de negocio para que detectes lo que un escáner nunca ve, siguiendo la metodología OWASP WSTG.

No te formamos repasando el OWASP Top 10, sino auditando aplicaciones reales donde encadenas vulnerabilidades hasta demostrar un impacto crítico.

Cuatro pasos para comenzar tu formación

Un proceso claro y sin complicaciones diseñado para profesionales que valoran su tiempo. En cuatro pasos sencillos pasas de la primera consulta a empezar a estudiar.

Solicita información

Formaliza tu matrícula

Accede al campus virtual

Comienza tu formación

COMPETENCIAS DEL PROGRAMA

Qué dominarás al finalizar el programa

Cada barra refleja el nivel de dominio real que alcanzarás. Habilidades concretas, niveles honestos.

Auditar aplicaciones web siguiendo OWASP WSTG

Experto 92%

Explotar inyecciones avanzadas (SQLi, SSTI, deserialización)

Avanzado 88%

Auditar APIs REST y GraphQL

Avanzado 84%

Detectar y explotar fallos de lógica de negocio

Experto 86%

Documentar y guiar la remediación de hallazgos

Intermedio 78%

¿TIENES DUDAS?

Habla con un asesor especializado

Te ayudamos a valorar si este programa encaja con tu perfil profesional y tus objetivos. Resolvemos dudas sobre el contenido, la dedicación necesaria y las salidas profesionales, sin compromiso.

Auditoría web avanzada aplicada a aplicaciones complejas del sector

No te formamos repasando el OWASP Top 10, sino auditando aplicaciones reales donde encadenas IDOR, SSRF y SSTI hasta lograr ejecución remota de código y demostrar un impacto crítico.

Contactanos

Email: contacto@isecd.com

Más allá del escáner automático

Aprendes a encontrar lo que ninguna herramienta detecta: fallos de lógica de negocio, race conditions y cadenas de vulnerabilidades que solo surgen con análisis manual experto.

La metodología y el tooling profesional

OWASP WSTG como guía, Burp Suite avanzado, sqlmap, ffuf y tooling propio para APIs REST y GraphQL, lo que se usa en una auditoría web de alto nivel.

Aplicaciones críticas en e-commerce y SaaS

E-commerce, pasarelas de pago y plataformas SaaS manejan datos y transacciones que no admiten fallos. Auditar sus aplicaciones a nivel experto es una demanda constante del mercado.

Aprende auditando aplicaciones web complejas con OWASP, no solo teorizando

La auditoría web avanzada no se domina leyendo la WSTG. Por eso cada módulo combina contenido técnico, laboratorios de explotación guiados y casos reales del sector para que adquieras competencia aplicable desde el primer día.

Contenido técnico estructurado

Vídeos cortos, lecturas dirigidas y material descargable para asimilar los conceptos clave de cada bloque sin perder tiempo en relleno académico.

Laboratorios de explotación avanzada

Aplicaciones complejas con APIs, autenticación moderna y lógica de negocio donde explotas inyecciones del lado servidor, SSRF y cadenas de vulnerabilidades en un entorno seguro.

Casos reales del sector

Escenarios basados en plataformas de e-commerce, pasarelas de pago y SaaS: APIs, flujos de compra y paneles de administración como los que auditarás en un encargo real.

Temario del Diplomado en Auditoría web avanzada y OWASP

Módulo 01 — Fundamentos avanzados de seguridad web

1.1 Protocolo HTTP en profundidad y cabeceras de seguridad
1.2 Modelo de confianza del navegador y same-origin policy
1.3 Arquitecturas web modernas y su superficie de ataque

Módulo 02 — Metodología OWASP WSTG y Top 10

2.1 Estructura de la guía OWASP WSTG
2.2 El OWASP Top 10 aplicado a auditorías reales
2.3 Planificación y cobertura de una auditoría web

Módulo 03 — Reconocimiento y mapeo de aplicaciones

3.1 Descubrimiento de contenido y endpoints
3.2 Análisis de tecnologías y dependencias
3.3 Construcción del mapa de la aplicación

Módulo 04 — Gestión de sesiones y autenticación

4.1 Ataques a mecanismos de login
4.2 Gestión insegura de sesiones y cookies
4.3 Recuperación de contraseña y MFA

Módulo 05 — Control de acceso y autorización

5.1 Insecure Direct Object References (IDOR)
5.2 Broken Object Level Authorization (BOLA)
5.3 Escalada horizontal y vertical de privilegios

Módulo 06 — Inyección SQL avanzada

6.1 SQLi a ciegas basada en tiempo y en booleanos
6.2 Explotación con sqlmap y de forma manual
6.3 Extracción de datos y RCE vía base de datos

Módulo 07 — Cross-Site Scripting avanzado

7.1 XSS reflejado, almacenado y basado en DOM
7.2 Bypass de filtros y de Content Security Policy
7.3 Explotación y robo de sesiones

Módulo 08 — Inyección del lado servidor

8.1 Inyección de comandos del sistema operativo
8.2 Server-Side Template Injection (SSTI)
8.3 Deserialización insegura

Módulo 09 — SSRF y ataques a la infraestructura

9.1 Server-Side Request Forgery y sus variantes
9.2 Acceso a metadatos de la nube y servicios internos
9.3 Encadenado de SSRF para pivotar

Módulo 10 — Seguridad en APIs REST y GraphQL

10.1 Auditoría de APIs REST
10.2 Introspección y abuso de GraphQL
10.3 Controles de autorización en endpoints de API

Módulo 11 — Autenticación moderna (OAuth y JWT)

11.1 Fallos en flujos OAuth 2.0 y OpenID Connect
11.2 Ataques a tokens JWT
11.3 Configuraciones inseguras de SSO

Módulo 12 — File upload, traversal y LFI/RFI

12.1 Subida de ficheros insegura y webshells
12.2 Path traversal y lectura de ficheros
12.3 Local y Remote File Inclusion

Módulo 13 — Lógica de negocio y race conditions

13.1 Identificación de fallos de lógica de negocio
13.2 Abuso de flujos de compra y de descuentos
13.3 Condiciones de carrera y su explotación

Módulo 14 — Automatización y scripting de la auditoría

14.1 Extensiones de Burp Suite y tooling propio
14.2 Scripting de ataques repetitivos
14.3 Integración de herramientas en el flujo

Módulo 15 — Reporting avanzado y remediación

15.1 Redacción de informes técnicos y ejecutivos
15.2 Pruebas de concepto reproducibles
15.3 Guía de remediación para desarrollo

Módulo 16 — Caso final integrador

16.1 Auditoría completa de una aplicación web compleja
16.2 Encadenado de vulnerabilidades hasta el impacto crítico
16.3 Elaboración y defensa del informe final

¿Listo para dar el siguiente paso?

Has llegado hasta aquí porque la formación te interesa de verdad. Cuéntanos sobre tu perfil profesional y un asesor especializado te contactará en menos de 24 horas.

Solicita mas información

Programas destacados de Seguridad ofensiva

Cursos especializados en pentesting, hacking ético y análisis de vulnerabilidades en entornos reales. Cada programa combina técnica ofensiva avanzada con la mentalidad del atacante para fortalecer cualquier sistema.

Seguridad ofensiva

Máster en Ingeniería inversa y exploit development

PREGUNTAS FRECUENTES

Resolvemos tus dudas sobre el programa

¿Necesito conocimientos previos?

Sí. Es un programa avanzado: te recomendamos manejar ya los fundamentos de seguridad web y de Burp Suite, o haber cursado una formación previa de auditoría web. Partimos de ahí hacia la explotación experta.

¿Hay práctica real o solo teoría?

El diplomado es totalmente práctico. Trabajas sobre aplicaciones complejas y vulnerables donde explotas inyecciones avanzadas, SSRF y fallos de lógica en un entorno preparado y legal.

¿Qué herramientas voy a aprender?

Burp Suite a nivel avanzado con extensiones, sqlmap, ffuf y tooling propio para APIs REST y GraphQL. Todo enmarcado en la metodología OWASP WSTG y en el OWASP Top 10.

¿Cuánto tiempo tengo que dedicarle?

El diplomado son 280 horas de formación. Con una dedicación de entre 12 y 15 horas semanales lo completas en unas 22 semanas, aunque al ser online y sin horarios fijos marcas tú el ritmo.

¿Encaja con mi sector?

Si auditas o desarrollas aplicaciones para e-commerce, pasarelas de pago o SaaS, este diplomado te capacita para encontrar las vulnerabilidades críticas que comprometen datos y transacciones.

¿Tendré apoyo de un tutor?

Sí. Cuentas con un tutor especializado que resuelve tus dudas técnicas, revisa tu progreso en los laboratorios y te orienta cuando un ejercicio se atasca. No estudias en solitario.

¿Qué titulación obtengo?

Al superar el programa recibes el título de Diplomado en Auditoría web avanzada y OWASP, que acredita las 280 horas de formación y las competencias prácticas adquiridas.

¿Puedo pagar en cuotas?

Sí. Ofrecemos pago fraccionado sin intereses para que distribuyas el importe de la matrícula en cómodas mensualidades. Tu asesor te explica las opciones disponibles según tu caso.