WEB-200 · Nivel 200 · Seguridad en Aplicaciones Web

Certifícate en
Web Hacking
con OffSec

Aprende a evaluar la seguridad de aplicaciones web con el curso oficial WEB-200. Vulnerabilidades reales, metodología profesional y un examen práctico de 4 horas sobre una aplicación real.

10+módulos con labs
OWASPTop 10 completo
4 hduración del examen
sin caducidad
Ver planes Ver temario ↓
OSWA — OffSec Web Assessor

Temario oficial WEB-200

Lo que aprenderás

  • Metodología de evaluación de seguridad en aplicaciones web
  • Reconocimiento pasivo y activo de aplicaciones web
  • Cross-Site Scripting (XSS): reflected, stored y DOM-based
  • Directory traversal y path traversal: lectura de ficheros del sistema
  • File inclusion: LFI y RFI con escalada a ejecución remota
  • Vulnerabilidades en subida de ficheros y bypass de controles
  • SQL Injection manual y automatizada con sqlmap
  • Command injection y OS command execution
  • Server-Side Request Forgery (SSRF): acceso a recursos internos
  • XML External Entity (XXE): extracción de datos y SSRF vía XML
  • Vulnerabilidades de autenticación: fuerza bruta, bypass y MFA flaws
  • IDOR (Insecure Direct Object Reference) y control de acceso roto
  • Business logic flaws: manipulación de flujos de negocio
  • CSRF (Cross-Site Request Forgery) y bypass de tokens
  • Gestión insegura de sesiones y ataques a cookies
  • Enumeración y ataques a APIs REST y endpoints no documentados
  • Uso avanzado de Burp Suite: Intruder, Repeater y extensiones
  • Explotación encadenada de múltiples vulnerabilidades
  • OWASP Top 10: cobertura completa de las principales categorías
  • Redacción de informes de auditoría web profesionales

Estructura del examen

4 horas para comprometer una aplicación web real.

Fase 1

Reconocimiento y mapeo

Enumeras la aplicación objetivo: endpoints, parámetros, funcionalidades y superficie de ataque. Sin herramientas automáticas de escaneo masivo — metodología manual y razonamiento propio.

Fase 2

Explotación activa

Identificas y explotas vulnerabilidades reales en la aplicación: XSS, SQLi, broken authentication, IDOR, file upload y otras del OWASP Top 10. Cada flag capturada demuestra que comprendes el ataque.

Fase 3

Documentación de hallazgos

Redactas un informe técnico con las vulnerabilidades encontradas, evidencias de explotación y recomendaciones de remediación. El informe es parte de la evaluación y debe ser profesional.

Examen supervisado en tiempo real por un empleado de OffSec vía VPN privada. Sin preguntas teóricas: debes demostrar que sabes encontrar y explotar vulnerabilidades reales en una aplicación web, igual que en una auditoría profesional.

El curso en detalle

Todo lo que necesitas saber sobre el curso WEB-200 (OSWA)

Acceso al laboratorio

El WEB-200 incluye acceso a un entorno de laboratorio con aplicaciones web vulnerables diseñadas por OffSec. Cada módulo tiene sus propios labs para practicar las técnicas antes del examen. Dependiendo del plan, tendrás entre 90 y 365 días de acceso.

Requisitos previos

No hay requisitos formales. Recomendamos comodidad con HTTP, conocimientos básicos de HTML y JavaScript, y algo de experiencia con herramientas como Burp Suite. No necesitas haber hecho pentesting web antes: el curso parte desde la metodología.

Qué incluye la formación

Material oficial WEB-200 completo: más de 10 módulos con labs integrados, cobertura del OWASP Top 10 y acceso a aplicaciones web vulnerables reales. En Atalanta añadimos soporte y resolución de dudas en español.

Idioma del contenido

El material oficial WEB-200 de OffSec está en inglés. En Atalanta Academy resolvemos tus dudas en español para que la barrera del idioma no te cueste ni un día de preparación.

El examen OSWA

4 horas para comprometer una aplicación web real. Supervisado en tiempo real por OffSec vía VPN privada. Debes encontrar y explotar vulnerabilidades reales y documentarlas en un informe técnico profesional.

¿Y si no apruebas a la primera?

Los planes ONE y Enterprise incluyen 2 intentos de examen. Si no apruebas en el primer intento, tendrás tiempo para reforzar las técnicas más débiles y volver con mayor confianza. Es completamente normal no lograrlo a la primera.

Elige tu plan

Acceso al WEB-200 oficial · Sin suscripción obligatoria

Acceso Estándar

  • 90 días de laboratorio
  • 1 intento de examen
  • Material online oficial
Contratar Estándar

Pago único · Sin suscripción

Más elegido para el OSWA

Formación ONE

  • 365 días de laboratorio

    • 365 días de laboratorio
    • 2 intentos de examen
    • Material online oficial
    • Proving Grounds Practice incluido
    Contratar Formación One

    Pago único · Sin suscripción

Enterprise

  • Para CISO y responsables de formación
  • 6 licencias / año
  • Licencias adicionales disponibles
  • Cyber Range incluido
  • Mín. 10 personas
Contratar Enterprise

Factura para empresa disponible

Preguntas frecuentes

¿Qué conocimientos previos necesito?

No hay requisitos formales. Recomendamos comodidad con HTTP, nociones básicas de HTML y JavaScript, y algo de experiencia navegando aplicaciones web. Si nunca has hecho pentesting web, el WEB-200 parte desde la metodología y las herramientas desde cero.

¿Cuánto dura el examen y cómo funciona?

El examen dura 4 horas. Tendrás acceso a una aplicación web real que debes evaluar, encontrar vulnerabilidades y explotarlas para capturar las flags. Todo está supervisado en tiempo real por OffSec vía VPN privada. Tras el hacking, redactas y entregas un informe técnico.

¿El certificado OSWA caduca?

No. El OSWA no tiene fecha de caducidad. Una vez que lo consigues, es tuyo para siempre y sigue siendo reconocido como una certificación práctica de evaluación de seguridad web.

¿El curso está en español?

El material oficial WEB-200 de OffSec está en inglés. En Atalanta Academy añadimos soporte y resolución de dudas en español para que nunca te quedes bloqueado por una barrera de idioma.

¿Cubre el OWASP Top 10 completo?

Sí. El WEB-200 cubre las principales categorías del OWASP Top 10 con laboratorios prácticos: XSS, SQL Injection, broken authentication, IDOR, SSRF, XXE, file upload y más. El enfoque es práctico: no solo entender la vulnerabilidad, sino explotarla en un entorno real.

¿Qué pasa si no apruebo el examen?

Los planes ONE y Enterprise incluyen 2 intentos de examen. Si no apruebas en el primero, tendrás tiempo para identificar qué vulnerabilidades o técnicas necesitas reforzar y volver más preparado.

¿Cuándo puedo empezar?

En cuanto completes la contratación. El acceso al material y al laboratorio es inmediato. No hay fechas fijas: avanzas a tu ritmo durante los días de acceso incluidos en tu plan.

¿La certificación la expide Atalanta Academy u OffSec?

La certificación OSWA la expide OffSec directamente. Atalanta Academy es el Learning Partner oficial de OffSec en España: te ayudamos a llegar al examen con la mejor preparación posible, pero el título que recibes es 100% oficial de OffSec.

¿Hay financiación disponible?

Sí. Puedes fraccionar el pago con Klarna o PayPal. En el momento del checkout encontrarás las opciones disponibles según tu perfil.

El OSWA te espera

Las aplicaciones web
tienen vulnerabilidades.
Aprende a encontrarlas.

10 módulos, labs reales y 4 horas de examen práctico sobre una aplicación web real. Con el OSWA en tu portfolio demuestras que sabes evaluar seguridad web con metodología profesional, no solo con teoría.

Ver planes y precios Explorar otras certificaciones

Pago seguro · Acceso inmediato · Certificado oficial OffSec · Klarna · PayPal · Tarjeta

Scroll al inicio
¿Tienes dudas? Escríbenos