第81回 脆弱性診断ええんやで(^^) WAFとOWASP ZAP
イベント内容
テーマ
今回のテーマはWAFとOWASP ZAPです。
外部より招聘の講師にWAFとOWASP ZAPによる攻撃と防御の仕組みを解説いただきます。
アジェンダ
- 脆弱性診断対象であるWebサーバーであるApache, nginxについて簡単に解説
- Apache, nginxをProxyにして、OWASP BWAを攻撃
- WAFの紹介
- もう一度攻撃して、WAFが防御することを確認
- OWASP ZAPで診断
- 診断レポート結果を比較して考察
- 技術書典の宣伝 ;)
対象
- 脆弱性診断に興味がある
- OWASP ZAPやBurp Suiteなどを使用して、ブラウザ・サーバ間の通信内容を閲覧できる
参加条件
今回はOWASP ZAPとやられアプリを使用してハンズオンを実施します。
やられアプリは当方で用意いたしますが、可能であれば、次のブログを参考にして、「VirtualBox」および「OWASP BWA」をセミナーにご持参されるPCにインストールしてください。
OWASP BWA インストール (VirtualBox) - 脆弱性診断研究会 - まじめにゆいがどくそん
https://nilfigo.hatenablog.com/entry/2018/05/21/170000
LT枠
LT枠を設けました。「IT」や「セキュリティ」に絡むネタであればテーマはなんでもOKです!
お話いただく時間は5~10分程度でお願いいたします。
「オレに(ワタシに)ヒトコト言わせろ!」って方は是非ご応募ください。
募集方法について
今回、次のつぶやきを見て「(・∀・)イイ!!」と思ったので真似してみます(^^)
https://twitter.com/making/status/874599484545581056
- https://security-testing.doorkeeper.jp/events/102623 (LT枠1名+前日以降キャンセルしない枠 20名+当日にキャンセルするかも…枠20名)
- https://connpass.com/event/162428/ (抽選 20名)
主催
脆弱性診断研究会(Security Testing Workshop)
https://www.facebook.com/groups/zeijakusei.shindan.kenkyukai/
セミナー講師はEGセキュアソリューションズ株式会社に所属しています。
情報処理安全確保支援士(登録セキスペ:013559)
https://riss.ipa.go.jp/r?r=013559
「ZAP Evangelist」として活動しています。
https://github.com/zaproxy/zaproxy/wiki/ZapEvangelists
会場
費用(2019年10月よりドロップイン料金が改定されています)
コワーキングスペース茅場町 Co-Edo様へのドロップイン料金として1,100円
※セミナー参加費は無料
当日ご用意いただくもの
ノートPC
下記のツールを実行可能ならばOSの種別は問いません。
OWASP Zed Attack Proxy Project
- 最新のバージョンである2.8系をダウンロード&インストールしてください。
Firefox
- 当セミナーではFirefoxの使用を推奨いたします。
FoxyProxy Standard
- FirefoxおよびChrome用のプロキシ設定切り替えツールです。
ご注意と事前のお願い
- 参加するにあたって、会場利用代(ドロップイン料金)として1,100円かかります。
- 電源は各自で確保可能です。コワーキングスペースCo-Edo様がご提供のWi-Fiがあります。ハンズオンセミナー時は指定のWi-Fiに接続していただきます。
- セミナーで使用するツールは事前にインストールしてください。本セミナー内ではインストール方法については解説いたしません。ツールのインストールについてご不明な点がございましたら、お気軽にイベント宛のメッセージとしてお寄せください。
懇親会
セミナー終了後に近所の居酒屋で懇親会を予定しております。お気軽にどうぞ(^^
Facebookグループ 「脆弱性診断研究会」
https://www.facebook.com/groups/zeijakusei.shindan.kenkyukai/
公開グループです。スパム防止のため承認制ですが、どなたでもお気軽にご参加ください!
注意事項
※ 掲載タイミングや更新頻度によっては、情報提供元ページの内容と差異が発生しますので予めご了承ください。
※ 最新情報の確認や参加申込手続き、イベントに関するお問い合わせ等は情報提供元ページにてお願いします。