WEB-300 · Nivel 300 · Revisión de Código y Web Avanzado

Hacking web
desde el código
fuente

El WEB-300 te enseña a encontrar vulnerabilidades leyendo el código fuente de las aplicaciones. Enfoque white-box, exploits a medida y un examen de 48 horas sobre aplicaciones reales con acceso al código.

10+módulos avanzados
White-boxacceso al código
48 hduración del examen
sin caducidad
Ver planes Ver temario ↓
OSWE — OffSec Web Expert

Temario oficial WEB-300

Lo que aprenderás

  • Metodología de revisión de código fuente (white-box testing)
  • Identificación de vulnerabilidades leyendo PHP, Java y .NET
  • XSS avanzado: bypass de filtros, CSP y WAF
  • Autenticación: bypass avanzado, race conditions y JWT attacks
  • PHP type juggling y loose comparison exploits
  • CORS misconfiguration: explotación y encadenamiento
  • SQL Injection avanzada: blind, time-based y OOB exfiltration
  • Insecure deserialization en PHP: POP chains y gadget discovery
  • Insecure deserialization en Java: gadget chains y ysoserial
  • Server-Side Template Injection (SSTI): RCE vía motores de plantillas
  • Remote Code Execution a partir de vulnerabilidades web encadenadas
  • .NET deserialization: ViewState exploits y gadget chains
  • File upload avanzado: bypass de protecciones y ejecución remota
  • Prototype pollution en JavaScript: escalada a RCE
  • Construcción de exploits a medida desde el código fuente
  • Automatización de exploits con scripts Python y Bash
  • Bypass de WAFs y mecanismos de seguridad en aplicaciones modernas
  • Encadenamiento de vulnerabilidades para escalada de impacto
  • Auditoría de APIs REST y GraphQL desde código fuente
  • Redacción de informes técnicos de auditoría web avanzada

Estructura del examen

48 horas. Código fuente incluido. Sin excusas.

White-box

Acceso al código fuente

A diferencia de otros exámenes, en el OSWE recibes el código fuente de las aplicaciones objetivo. Tu trabajo es analizarlo, encontrar vulnerabilidades y construir exploits funcionales que las demuestren.

2 aplicaciones

Exploits a medida

Debes comprometer 2 aplicaciones web independientes. Cada una requiere análisis de código, identificación de la cadena de vulnerabilidades y desarrollo de un exploit automatizado que obtenga las flags.

+24 horas

Informe técnico

Tras las 48h de hacking, tienes otras 24h para entregar un informe técnico detallado con el análisis de código, la cadena de explotación, los exploits desarrollados y las recomendaciones de remediación.

Examen supervisado en tiempo real por OffSec vía VPN privada. El OSWE mide tu capacidad de auditar aplicaciones reales con acceso al código — la habilidad más demandada en consultoras de ciberseguridad avanzada.

El curso en detalle

Todo lo que necesitas saber sobre el curso WEB-300 (OSWE)

Acceso al laboratorio

El WEB-300 incluye acceso a aplicaciones web con código fuente real para practicar la revisión y explotación. Los labs replican el formato del examen: analizas el código, identificas la vulnerabilidad y construyes el exploit. Dependiendo del plan, entre 90 y 365 días de acceso.

Requisitos previos

Se recomienda tener el OSWA o experiencia equivalente en pentesting web. Necesitas comodidad con al menos un lenguaje de programación (Python, PHP o Java), entender HTTP a fondo y haber explotado vulnerabilidades web en entornos reales.

Qué incluye la formación

Material oficial WEB-300 completo: más de 10 módulos de revisión de código y explotación avanzada, labs con acceso al código fuente y técnicas de desarrollo de exploits a medida. En Atalanta añadimos soporte en español.

Idioma del contenido

El material oficial WEB-300 de OffSec está en inglés. En Atalanta Academy resolvemos tus dudas en español para que la barrera del idioma no te cueste ni un día de preparación.

El examen OSWE

48 horas para comprometer 2 aplicaciones web con acceso al código fuente. Después, 24 horas para entregar el informe. Debes desarrollar exploits funcionales y automatizados que demuestren la explotación completa de cada aplicación.

¿Y si no apruebas a la primera?

Los planes ONE y Enterprise incluyen 2 intentos. El OSWE exige un nivel de programación y análisis que pocos tienen al primer intento. Úsalo como diagnóstico real de dónde reforzar antes de volver.

Elige tu plan

Acceso al WEB-300 oficial · Sin suscripción obligatoria

Acceso Estándar

  • 90 días de laboratorio
  • 1 intento de examen
  • Material online oficial
Contratar Estándar

Pago único · Sin suscripción

Más elegido para el OSWE

Formación ONE

  • 365 días de laboratorio
  • 2 intentos de examen
  • Material online oficial
  • Proving Grounds Practice incluido
Contratar Formación One

Pago único · Sin suscripción

Enterprise

  • Para CISO y responsables de formación
  • 6 licencias / año
  • Licencias adicionales disponibles
  • Cyber Range incluido
  • Mín. 10 personas
Contratar Enterprise

Factura para empresa disponible

Preguntas frecuentes

¿Necesito el OSWA antes de hacer el OSWE?

No es un requisito oficial, pero sí una recomendación sólida. El WEB-300 asume que ya sabes explotar vulnerabilidades web en black-box. Si no tienes ese nivel, la parte de revisión de código y desarrollo de exploits será muy difícil de seguir.

¿Qué diferencia al OSWE del OSWA?

El OSWA es black-box: atacas la aplicación sin ver el código. El OSWE es white-box: recibes el código fuente y debes encontrar vulnerabilidades leyéndolo. Requiere conocimientos de programación sólidos y capacidad para construir exploits a medida desde el código.

¿Cuánto dura el examen y cómo funciona?

48 horas para comprometer 2 aplicaciones web con acceso al código fuente. Después, 24 horas para redactar y entregar el informe técnico con el análisis de código, la cadena de explotación y los exploits desarrollados. Supervisado en tiempo real por OffSec.

¿Necesito saber programar?

Sí. El OSWE requiere desarrollar exploits automatizados en Python u otro lenguaje. No hace falta ser desarrollador senior, pero debes sentirte cómodo leyendo y escribiendo código en PHP, Java o .NET, y automatizando ataques con scripts.

¿El certificado OSWE caduca?

No. El OSWE no tiene fecha de caducidad. Es una de las certificaciones de seguridad web más respetadas del mercado y no requiere renovación.

¿El curso está en español?

El material oficial WEB-300 de OffSec está en inglés. En Atalanta Academy resolvemos tus dudas en español para que la barrera del idioma no te cueste ni un día de preparación.

¿Qué pasa si no apruebo a la primera?

Los planes ONE y Enterprise incluyen 2 intentos. El OSWE exige un nivel técnico alto: no aprobar en el primer intento es habitual incluso entre profesionales experimentados. Úsalo para saber exactamente qué mejorar.

¿La certificación la expide Atalanta Academy u OffSec?

La certificación OSWE la expide OffSec directamente. Atalanta Academy es el Learning Partner oficial de OffSec en España: te preparamos, pero el título es 100% oficial de OffSec.

¿Hay financiación disponible?

Sí. Puedes fraccionar el pago con Klarna o PayPal. En el momento del checkout encontrarás las opciones disponibles según tu perfil.

El OSWE te espera

El código no miente.
Aprende a leerlo.

10 módulos de revisión de código, labs con acceso al fuente y 48 horas de examen white-box. Con el OSWE demuestras que puedes encontrar vulnerabilidades donde otros solo ven líneas de código.

Ver planes y precios Explorar otras certificaciones

Pago seguro · Acceso inmediato · Certificado oficial OffSec · Klarna · PayPal · Tarjeta

Scroll al inicio
¿Tienes dudas? Escríbenos