対象者

• 興味あるけど全く初めての方
• セキュアコーディング・脆弱性診断初級者
• サイバーセキュリティー（WEBアプリケーション）に興味ある

ジャンル

• サイバーセキュリティー
• WEBアプリケーション脆弱性診断

当日しないこと

• ペネトレーション
• フォレンジック
• 情報セキュリティー
• アプリ診断・IOT・ネットワーク

当日の内容

IPA健康診断で基本的な脆弱性の種類を覚えたり、Bwapp等で、脆弱性を実際に出したあとは、最新の脆弱性事情も知りたい方もおられるのではないでしょうか？

世の中には、脆弱性はとてもたくさんあり、年々増えていってます。 毎年ランキングもちょくちょく更新されるので、元ソースから脆弱性をウオッチするのも 最新の動向が分かって学習の励みになると思います。

owasp10 cve cwe capec　ややこしいですよね..

海外の分析団体が、脆弱性種別や、攻撃手法をまとめているのですが、これを見ても、要は何をやればいいのか迷ってしまう方も多いと思います。

そこで、owasp10 2021の参考CWEを見ていって、最近のトレンドを掴むということに挑戦していきたいと思います。

＊owasp10も巨大で、難解ですので、当日はきれいに着地できるか分かりません。

＊司会者も勉強中でして、着地できないときはお許しください。

これから勉強を始めたい方も、世の中には、非常にたくさんの脆弱性があり、 (owasp2021の参考脆弱性タイプだけで、200個くらい） サイトを診断するときも、owasp10にのっている全ての検査は、時間的に不可能だと思いますので、 診断項目のチョイス、診断方法の効率化が大切。いうことが理解頂けると思います。

診断項目をどこまでやれば、アプリケーションは安全かは、自己判断になると思うのですが、そういった判断材料にお使い下さい。

他情報

■WEBセキュリティー学ぶ前にあった方がいい知識

• （非エンジニアの方は、htmlやhttpの基礎を学ばれると学習が進みやすいと思います）
• html javascript php sql文　（簡単なフォームにあるページを作ったり）
• phpで簡単なwebアプリケーションを作るのは為になると思います。
• レクエスト・レスポンス
• GET/POST
• 特殊文字エスケープ
• クッキー / セッション (web以外のエンジニアさんには特に重要です)
• ショッピングサイトの機能を確認（登録・ログイン・カートに入れる・決済など一連の流れ）

■IPA WEB健康診断 https://www.ipa.go.jp/files/000017319.pdf

■burp suite 無料版 https://portswigger.net/burp/communitydownload

■トレーニングサイト bwapp/dvwa

virtualboxでサイトのイメージをローカルで動かします(owasp BWAのovaファイル推奨)

https://guricerin.github.io/shit-blog/post/2020/09/13-owasp-bwa-setup/

＊いろんな方がまとめて下さってます。環境によって、構築はまることが多いので、はまったらご相談ください。

受講頂く上での注意

• 当会で得た知識で他人のサーバーを調査・攻撃する行為は、犯罪にあたる可能性もございます。
• 当会は、参加者様の行われた行為について一切関与、保証致しません。事前にご了承ください。