概要

昨今の Web セキュリティにまつわる動向はどうにも複雑で、学びにくいものとなってきています。とりわけ SOP や CORS, CSP のようなブラウザの持つ仕組みに関して、「ふんわりとどんな機能かは分かるけど、存在意義は分からない」 「なんとなく理解しきれていない…」 といった感覚を抱いている方や、「なんかエラーが出るやつ」 という認識をしている方は少なくないはずです。

そこで今回、主にWeb ブラウザに存在する様々なセキュリティ機構についてフォーカスしながら、次のようなことを学ぶためのワークショップを開催します。

• なぜそれが存在するのか … 導入された背景を学ぶ
• どんな保護を提供してくれているのか … その有無によりどう挙動が変わるかを学ぶ
• 不適切な設定がもたらす問題とはなにか … どのような攻撃手法が存在しているのかを学ぶ

当日は休憩含めて 8 時間みっちり手を動かしつつ、Web ブラウザの持つセキュリティ機構の発展の歴史と攻撃手法の発展の歴史の両方を整理しながら学んでいきます。

• 日時: 11/23 (土) 10:00 - 18:00
• 場所: 〒100-0004 東京都千代田区大手町1-8-1 KDDI大手町ビル 16階
• 参加費: 無料
• 必要なもの:
  • 最新の Google Chrome が動作する PC。

コンテンツ

講義コンテンツとしては、セキュリティ・ミニキャンプ in 岡山 2018 で使用したもの と セキュリティ・キャンプ全国大会 2019 で使用したもの に、多少の更新を加えたものを利用します。当日はスライドでは省略されているハンズオンがメインとなります。

また今回のコンテンツは、主に以下のような方にマッチするように作られています。 ミスマッチを避けるためにも、抽選登録の前にご確認ください。

• 簡単な Web ページを作成・公開 (社内・サークル内のような規模のものも含む) したことのある方。
• Web アプリケーションの基本的な脆弱性 (e.g. XSS, SQL Injection, CSRF, ...) についての理解がある方。
• HTML, CSS, JavaScript をあまり苦しまずに書ける方 。
  • 講義中は実際に学んだ攻撃手法を再現するなど、手を動かすことが多くあります。そのためこれらの言語の基本的な構文には慣れ親しんでいることが求められます。

募集方法と定員について

今回はコンテンツの都合上、定員 30 人の抽選制とさせていただきます。ご了承ください。

また今回は児童・生徒・学生の参加を優先するため、以下のような二段階の募集方法を取ろうと思います。

• 9/30 - 10/11: 児童・生徒・学生のみ募集
• 10/12 - 10/18: もし枠が残っていれば、その分を社会人含むすべての人から募集。残っていなければ、そこで募集締め切り。

また何かイベントについての質問がございましたら、@lmt_swallow までお声がけください。

当日のスケジュール

開始・終了の時刻以外はあくまで予定であり、今後大幅に変更される可能性があります。ご了承ください。

10:00 - 10:15 受付
10:15 - 10:30 オリエンテーション
10:30 - 12:30 イントロダクション (SOP, CORS)
12:30 - 13:30 休憩
13:00 - 14:00 CSS Injection 体験
14:00 - 14:20 休憩
14:20 - 16:20 XS-Search 体験
16:20 - 16:40 休憩
16:40 - 17:40 演習 (脆弱な Web アプリケーションを用いたハンズオン)
17:40 - 18:00 クロージング

諸注意

お申し込みの際には以下の注意点をご確認いただき、ご了承いただいた上でお手続きください。

• 抽選の末参加が決定した場合には、できるだけキャンセルしないでいただけると助かります。
  • やむを得ない理由で欠席する場合には、できるだけ早くご連絡ください。
• 本勉強会参加後に、講義コンテンツに係るアンケートへのご協力をお願いすることがあります。
• 記録や SNS での広報を目的として、運営が写真を撮影する場合があります。ご了承ください。

謝辞

今回は情報通信研究機構 (NICT) 様に会場をご提供いただいています。この場を借りてお礼申し上げます。