ペネトレーションテストの為のステップアップ講座 A1.HTTP基礎 part2 セッション編
2022/11/13(日)13:00
〜
14:20
開催
ブックマーク
イベント内容
基礎講座スタートします
- 体験会にご参加頂いている方から、基礎からしっかり理解したいとの要望も増えてきましたので、スムースにステップアップできるようカリキュラムを作成致しました。
- 今より上のレベルに行くには、基礎固めするのが大事です。
- このご機会に是非、当セミナーを活用して、WEBセキュリティ技術を磨いてください。
お支払いにつきまして
- 事前にpaypayのID/電話番号をメッセージをお送りしますので、そちらに送金をお願い致します。
- 参加受付欄に、会場払い 1380円とありますが、まぎわらしくて申し訳ありません。
- 接続ができない、その他の事情でセミナーが受けれない場合は、次回セミナー分とさせて頂くか、返金させて頂きます。
- 領収書が必要な場合は、PDFで領収書をお送りします。(宛名をメッセージでお送りください)
当日の内容
- 前回させて頂いたBurpの使い方復習、セッションまでを行います。
- 新しい練習サイト付き(半年間ご提供)
- 前回セミナーや練習サイトの質問も回答させて頂きます。
- 90分くらいを予定してます。
セッションの内容です
- HTTPは、ページ間でデータを渡すのが苦手
- データを渡せ GET/hidden/COOKIE
- WEBアプリケーションの認証の要、セッション
- セッションを使わないと... リクエストはぜんぶ改ざんできるんです
- クッキーが盗まれると..
- クロスサイトって
- クッキーを守れ(最近のブラウザの防御)
IPA健康診断項目の「XSS、CSRF、セッション管理の不備」を理解する基本知識になります。
セッションを避けてきた方も、ぜひこのご機会にご参加ください。
| 対象: 普段PCを触っていて、WEBやHTTPの中身を知らない方 |
|---|
| A1.HTTPレスポンス・リクエスト/ステータスコード |
| A2.URLの仕組み GET / POST パラメータ |
| A3.HTTPクッキー・リダイレクト |
| A4.html エスケープ処理 |
| A5.Javascript / SQL |
用意するもの
- PC (ブラウザはクローム推奨)
- バープインストールは任意です(コミュニティー版)
- 見て頂くだけでも結構です。
☆A. HTTP/WEBの仕組みを覚えよう
| 対象: 普段PCを触っていて、WEBやHTTPの中身を知らない方 |
|---|
| A1.HTTPレスポンス・リクエスト/ステータスコード |
| A2.URLの仕組み GET / POST パラメータ |
| A3.HTTPクッキー・リダイレクト |
| A4.html エスケープ処理 |
| A5.Javascript / SQL |
HTTPの基本を理解した後は、診断ツールBurpの使い方をマスターし、
IPA健康診断の診断項目をベースに具体的な攻撃手法を学んでいきます。
最後には、当会で製作したテストサイトを使い、今まで学んだテクニックで、実際に侵入を試みて頂きます。
☆B. Burp Suiteに慣れよう
| 対象: HTTP/WEBの仕組みを理解されている方 |
|---|
| B1.インストール Burpの基本 ローカルプロキシ 内臓ブラウザ target設定 |
| B2.レスポンス・リクエストをBurpで確認 history機能 |
| B3.クッキー/リダイレクトをBurpで見てみよう |
| B4.インターセプトしてパラメータを書き換えよう |
| B5.リピータ・イントルーダー |
☆C. 診断項目基礎 (IPA ウェブ健康診断仕様)
| 対象: HTTP/WEBの仕組み / Burpの使い方をマスターされている方 |
|---|
| C1.XSS |
| C2.SQLインジェクション |
| C3.CSRF |
| C4.OSコマンドインジェクション |
| C5.ファイルアップロード |
| C6.ディレクトリトラバーサル |
| C7.オープンリダイレクト |
| C8.認証/認可 |
| C9.セッション |
| C10.ヘッダインジェクション |
| C11.サーバー設定(ディレクトリリスティング、httponly/secure) robots.txt |
*(概要 テストサイトで再現 どんな危険があるか 対策)
☆D. テスティングサイト dvwa / bwapp 演習
| 対象: HTTP/WEBの仕組み / Burpの使い方 / 診断項目基礎をマスターされている方 |
|---|
| *メニューを選定中です。しばらくお待ちください。 |
☆E. ペネトレーション腕試し(初級)
| 対象: HTTP/WEBの仕組み / Burpの使い方 / 診断項目基礎をマスターされている方 dvwa / bwappのトレーニングを始められている方推奨 |
|---|
| 当会で作成した脆弱性のあるアプリケーションを使います。(9/18 ペネトレーション体験会で使用) |
-
今まで習得したテクニックを駆使して、RCE(リモートコード実行)を狙ってください。
-
WEBアプリケーションの弱点を見つけ、侵入までを一通り体験することができます。
-
今まで学んだ内容の習熟度が確認できます。弱点と思われた部分の講座を繰り返すことで、しっかり基礎固めをして頂けます。
上記カリキュラムの内容は、常にブラッシュアップして参りますので、予告なく追加・変更することがございます。
対象者
- WEBセキュリティ・脆弱性診断を覚えたい方
- 普段PCを触っていて、WEBやHTTPの中身を知らない方
- 全体的に初心者レベルです。バリバリされている方には簡単過ぎるかもしれません。
- ネットワーク / フォレンジック / アプリ・IOT / 情報セキュリティはやりません。
- ペネトレーションも、WEBアプリケーション中心です。エクスプロイト、サーバー内探索、権限昇格などは予定してません。ファイルアップロードし、実行くらいまでを予定しております。
- WEBアプリケーションの基礎をマスターすることで、脆弱性診断、セキュアコーディングの知識がつき、セキュリティエンジニアとしてもレベルアップが可能かと思います。
他情報
書籍 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版
テスティング環境構築 virtualbox + owasp BWA(ovaファイル)
参加者様の管理外のサーバーで試すことはお止めください
注意. 当会でお伝えする手法や、ツールは、実世界のサーバーの破壊をする力がございます。 トレーニングは、ローカル環境、自己の管理サーバー以外には、決して行わないようにしてください。 当会では、会員様の行為によっておこったあらゆる障害に一切責任・関知を致しません。
注意事項
※ こちらのイベント情報は、外部サイトから取得した情報を掲載しています。
※ 掲載タイミングや更新頻度によっては、情報提供元ページの内容と差異が発生しますので予めご了承ください。
※ 最新情報の確認や参加申込手続き、イベントに関するお問い合わせ等は情報提供元ページにてお願いします。
※ 掲載タイミングや更新頻度によっては、情報提供元ページの内容と差異が発生しますので予めご了承ください。
※ 最新情報の確認や参加申込手続き、イベントに関するお問い合わせ等は情報提供元ページにてお願いします。
情報提供元ページ(connpass)へ
新規会員登録
このイベントに申し込むには会員登録が必要です。
アカウント登録済みの方はログインしてください。
※ ソーシャルアカウントで登録するとログインが簡単に行えます。
※ 連携したソーシャルアカウントは、会員登録完了後にいつでも変更できます。
