ペネトレーションテストの為のステップアップ講座 B1. Burp使い方 オンライン

2022/10/16(日)13:00 〜 14:00 開催
ブックマーク

イベント内容

対象者

  • WEBセキュリティ・脆弱性診断を覚えたい方
  • 普段PCを触っていて、WEBやHTTPの中身を知らない方
  • 全体的に初心者レベルです。バリバリされている方には簡単過ぎるかもしれません。
  • ネットワーク / フォレンジック / アプリ・IOT / 情報セキュリティはやりません。
  • ペネトレーションも、WEBアプリケーション中心です。エクスプロイト、サーバー内探索、権限昇格などは予定してません。ファイルアップロードし、実行くらいまでを予定しております。
  • WEBアプリケーションの基礎をマスターすることで、脆弱性診断、セキュアコーディングの知識がつき、セキュリティエンジニアとしてもレベルアップが可能かと思います。

オンライン開始します

  • セミナー時間は、50分を予定してます。多少前後するかもしれません。
  • google meetを利用し、開始10分ほど前に、参加者様に会議室URLをお送りしますので、接続テストなどお願いします。
  • 顔出しは任意ですが、出していただけると、皆様の反応が分かり進行がスムースになるかもしれません。
  • セミナーが始まると、マイクはOFFでお願いします。
  • 進行スタイルは試行錯誤中ですが、説明途中にチャットでご質問頂いて随時ご回答できればと思ってます。挙手頂いて、マイクONで質問頂いてもいいかと思います。時間の関係で全て回答できないかもしれませんが、ご容赦ください。
  • 司会者は、まだオンラインに不慣れなため、進行や操作でスムースにいかない点もあるかと思います。皆様にとって1回で1つでもマスターして頂ける時間になることを目指して参りますので、宜しくお願い致します。

基礎講座スタートします

体験会にご参加頂いている方から、基礎からしっかり理解したいとの要望も増えてきましたので、

スムースにステップアップできるようカリキュラムを作成致しました。

今より上のレベルに行くには、基礎固めするのが大事です。

このご機会に是非、当セミナーを活用して、WEBセキュリティ技術を磨いてください。

当日の内容

☆B 診断ツールBurpの使い方を覚えよう

対象: 普段PCを触っていて、WEBやHTTPの中身を知らない方
B1.インストール Burpの基本 ローカルプロキシ

10/9のセミナーは延長を希望頂いたのに、途中で回線切れてしまい申し訳ありません。

前回・今回の資料をコンパスの資料にアップさせて頂きました。

次回は、burpの使い方になります。ハンズオン希望の方は、事前にインストールをお願いいたします。

以下から、burp suite(バープスイート) community edition(無料)を選択し、インストールください。

burp suite community版(無料版)

見学だけの方もいらっしゃって下さい!

持ち物

  • ノートPC (ブラウザはクローム推奨)
  • Wifi環境・AC電源はございます。
  • 手ぶらで見て頂くだけでも結構です。

今後のスケジュール

  • オンラインは、毎週日曜の昼開催予定ですが、ご要望あれば、平日の早朝・夜も考えております。
  • 基礎部分は、目標1ヶ月くらいで進んで頂き、早くテスティングサイト等のトレーニングにいった方がモチベーションも保ちやすいと思いますので、参加頂きやすい曜日・時刻を模索して参ります。

☆A. HTTP/WEBの仕組みを覚えよう

対象: 普段PCを触っていて、WEBやHTTPの中身を知らない方
A1.HTTPレスポンス・リクエスト/ステータスコード
A2.URLの仕組み GET / POST パラメータ 
A3.HTTPクッキー・リダイレクト
A4.html エスケープ処理
A5.Javascript / SQL

HTTPの基本を理解した後は、診断ツールBurpの使い方をマスターし、

IPA健康診断の診断項目をベースに具体的な攻撃手法を学んでいきます。

最後には、当会で製作したテストサイトを使い、今まで学んだテクニックで、実際に侵入を試みて頂きます。

☆B. Burp Suiteに慣れよう

対象: HTTP/WEBの仕組みを理解されている方
B1.インストール Burpの基本 ローカルプロキシ 内臓ブラウザ target設定 ← 次回(10/16)はこれ !
B2.レスポンス・リクエストをBurpで確認 history機能
B3.クッキー/リダイレクトをBurpで見てみよう
B4.インターセプトしてパラメータを書き換えよう
B5.リピータ・イントルーダー

☆C. 診断項目基礎 (IPA ウェブ健康診断仕様)

対象: HTTP/WEBの仕組み / Burpの使い方をマスターされている方
C1.XSS
C2.SQLインジェクション
C3.CSRF
C4.OSコマンドインジェクション
C5.ファイルアップロード
C6.ディレクトリトラバーサル
C7.オープンリダイレクト
C8.認証/認可
C9.セッション
C10.ヘッダインジェクション
C11.サーバー設定(ディレクトリリスティング、httponly/secure) robots.txt

*(概要 テストサイトで再現 どんな危険があるか 対策)

☆D. テスティングサイト dvwa / bwapp 演習

対象: HTTP/WEBの仕組み / Burpの使い方 / 診断項目基礎をマスターされている方
*メニューを選定中です。しばらくお待ちください。

☆E. ペネトレーション腕試し(初級)

対象: HTTP/WEBの仕組み / Burpの使い方 / 診断項目基礎をマスターされている方 dvwa / bwappのトレーニングを始められている方推奨
当会で作成した脆弱性のあるアプリケーションを使います。(9/18 ペネトレーション体験会で使用)
  • 今まで習得したテクニックを駆使して、RCE(リモートコード実行)を狙ってください。

  • WEBアプリケーションの弱点を見つけ、侵入までを一通り体験することができます。

  • 今まで学んだ内容の習熟度が確認できます。弱点と思われた部分の講座を繰り返すことで、しっかり基礎固めをして頂けます。

上記カリキュラムの内容は、常にブラッシュアップして参りますので、予告なく追加・変更することがございます。

他情報

書籍 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版

IPA ウェブ健康診断仕様

burp suite community版(無料版)

テスティング環境構築 virtualbox + owasp BWA(ovaファイル)

owasp BWA(ovaファイル) 2.4G

★ スタートアップキャンペーン!

10月いっぱいまでは、無料でご提供 !

以降は、セミナー1回につき1000円程度を予定しております。

参加者様の管理外のサーバーで試すことはお止めください

注意. 当会でお伝えする手法や、ツールは、実世界のサーバーの破壊をする力がございます。 トレーニングは、ローカル環境、自己の管理サーバー以外には、決して行わないようにしてください。 当会では、会員様の行為によっておこったあらゆる障害に一切責任・関知を致しません。

注意事項

※ こちらのイベント情報は、外部サイトから取得した情報を掲載しています。
※ 掲載タイミングや更新頻度によっては、情報提供元ページの内容と差異が発生しますので予めご了承ください。
※ 最新情報の確認や参加申込手続き、イベントに関するお問い合わせ等は情報提供元ページにてお願いします。

関連するイベント