WEBセキュリティ演習 D-bwapp-5回/6回

2022/12/11(日)13:00 〜 16:00 開催

ブックマーク

#VirtualBox, #PHP, #ハンズオン

イベント内容

Bwapp講座はじめます (全8回)

Bwappというのは、webセキュリティ用トレーニングサイトで、多くのメニューがあり初学者が取り組む教材として適していると思います。
まずはweb健康診断や診断ガイドブックの手順を参考に、こちらを解いていけば、脆弱性診断の流れが体感できるのではないでしょうか。
日本語での解説本やサイトが少ないと思いますので、こちらの解き方や、どういうところに注意していけばいいかお伝えさせて頂きます。
インジェクションやCSRFなど、問題に多く触れることで、イメージとして理解できますので、この後のペネトレーションテストに繋がる土台作りができると思います。
はじめて3ヶ月～半年くらいは、Bwappで基本的な解き方をとにかく覚えてましょう。ある程度引き出しがたまれば、独自の解き方ができたりすると思います。

動画でのご提供

セミナーという短い時間では習得は難しいため、セミナーは、初めて理解するときや質問の場と考えております。（ちょっとしたハンズオンはあると思いますが）。ですので、ご自宅でご都合の良いときにしっかり練習して頂きたいと思い、セミナーで説明した手順を動画で提供させて頂きます。
下の全カリキュラムにある項目は、順次ローテーションして開催予定です（すみません、日程は未定です。）
一度参加頂いたタイトルのセミナーは、次回から、半額もしくは無料で受講頂けるよう予定しております。
参加者様にたくさん練習して頂いて、セミナーで質問もして頂いて、レベルアップにつなげて頂けることが、結果、当会のメリットにも繋がると考えております。

お支払いにつきまして

事前にpaypayのID/電話番号をメッセージをお送りしますので、そちらに送金をお願い致します。
参加受付欄に、会場払いとありますが、まぎわらしくて申し訳ありません。
接続ができない、その他の事情でセミナーが受けれない場合は、次回セミナー分とさせて頂くか、返金させて頂きます。
領収書が必要な場合は、PDFで領収書をお送りします。（宛名をメッセージでお送りください）

事前にインストールいただきたい一覧


burp suite community版(無料版)	community edition(無料)を選択ください
virtualboxインストール
bee-boxイメージをダウンロード	bee-box_v1.6.7z というファイルです。ダウンロード後は、7-zipなどのツールで解凍できると思います
virtualboxにインポート	手順を掲載いたします。お待ちください

virtualboxやbee-boxのインポートは、win11 HOME版で確認しております。

macで動かない。win11 proで動かない。という噂も聞いております。

環境構築の部分は、無料でアドバイスさせて頂きますが、参加者様のOSやバージョン、環境によっては、きちんと動作しない可能性があることをご了承ください。

その場合は、別に win10/11 homeのOSが入ったPCを用意して頂くのが早いかと思います。メモリは最低8Gあれば動作するようです。

当日、インストールや環境構築が間に合わなければ、見て頂くだけでも結構です。bWappの手順動画はセミナー後、お送りしますので、後でじっくり試して頂けると思います。

インストールで不明点ありましたら、nishi@wind-labo.com までメール頂けると分かる範囲でご回答させて頂きます。

当日の内容 / タイムテーブル


13:00 - 15:00	bWapp講座第5 / 6回

当日、実演予定のbWappのメニュー

各脆弱性の概念は最初にスライドで説明させて頂きます

第5回認証・セッション
A2 認証 Insecure Login Forms
A2 認証 Logout Management
A2 認証 Weak Passwords
A2 セッション Administrative Portals
A2 セッション Session ID in URL

第6回 IDOR・CSRF
A4 IDOR Change Secret
A4 IDOR Reset Secret
A4 IDOR Order Tickets
A8 CSRF change password
A8 CSRF change seacret
A8 CSRF trancefer amount

当日は時間の関係でできるところまでやります。今回参加頂いた回の手順動画は、セミナー後、お送りいたします。
全8回申し込まれた場合も、動画は各回のセミナーが終わった後にお送りします。 (行ったセミナーをベースに、後から制作させて頂いております）

対象者

WEBセキュリティ・脆弱性診断を覚えたい方
全体的に初心者レベルです。バリバリされている方には簡単過ぎるかもしれません。
ネットワーク / フォレンジック / アプリ・IOT / 情報セキュリティはやりません。
WEBアプリケーションの基礎をマスターすることで、脆弱性診断、セキュアコーディングの知識がつき、セキュリティエンジニアとしてもレベルアップが可能かと思います。

全カリキュラム

☆A. HTTP/WEBの仕組みを覚えよう

対象: 普段PCを触っていて、WEBやHTTPの中身を知らない方
A1.HTTPレスポンス・リクエスト/ステータスコード
A2.URLの仕組み GET / POST パラメータ
A3.HTTPクッキー・リダイレクト
A4.html エスケープ処理
A5.Javascript / SQL

HTTPの基本を理解した後は、診断ツールBurpの使い方をマスターし、

IPA健康診断の診断項目をベースに具体的な攻撃手法を学んでいきます。

最後には、当会で製作したテストサイトを使い、今まで学んだテクニックで、実際に侵入を試みて頂きます。

☆B. Burp Suiteに慣れよう

対象: HTTP/WEBの仕組みを理解されている方
B1.インストール Burpの基本ローカルプロキシ内臓ブラウザ target設定
B2.レスポンス・リクエストをBurpで確認　history機能
B3.クッキー/リダイレクトをBurpで見てみよう
B4.インターセプトしてパラメータを書き換えよう
B5.リピータ・イントルーダー

☆C. 診断項目基礎 (IPA ウェブ健康診断仕様)

対象: HTTP/WEBの仕組み / Burpの使い方をマスターされている方
C1.XSS
C2.SQLインジェクション
C3.CSRF
C4.OSコマンドインジェクション
C5.ファイルアップロード
C6.ディレクトリトラバーサル
C7.オープンリダイレクト
C8.認証/認可
C9.セッション
C10.ヘッダインジェクション
C11.サーバー設定（ディレクトリリスティング、httponly/secure) robots.txt

☆D. テスティングサイト環境構築

対象: virtualboxのインストールが可能な方
DVWA / bWappのイメージをvirtualboxにインポート・立ち上げまで

☆D. テスティングサイト dvwa 演習

対象: HTTP/WEBの仕組み / Burpの使い方を理解されている方
診断項目の概要は、スライドで説明いたします

DVWA
brute force
xss reflected
xss stored
csrf
sql injection
comand execution
file inclusion
file upload

☆D. テスティングサイト bwapp 演習全8回

対象: HTTP/WEBの仕組み / Burpの使い方を理解されている方
診断項目の概要は、スライドで説明いたします

第1回インジェクション 1
A1 HTML Injection - Reflected (GET)
A1 HTML Injection - Reflected (POST)
A1 HTML Injection - Reflected (URL)
A1 HTML Injection - Stored (Blog)
A1 iFrame Injection
A1 OS Command Injection
A1 OS Command Injection – Blind

第2回インジェクション 2
A1 SQL Injection (GET/Search)
A1 SQL Injection (GET/Select)
A1 SQL Injection (POST/Search)
A1 SQL Injection (POST/Select)
A1 SQL Injection (Login Form/Hero)
A1 SQL Injection - Stored (Blog)

第3回 XSS 1
A3 XSS refrected GET
A3 XSS refrected POST
A3 XSS refrected CustomHeader
A3 XSS refrected Eval
A3 XSS refrected href

第4回 XSS 2
A3 XSS refrected LoginForm
A3 XSS refrected PHP_SELF
A3 XSS refrected User-Agent
A3 XSS stored blog
A3 XSS stored change secret
A3 XSS stored user-agent

第5回認証・セッション
A2 認証 Insecure Login Forms
A2 認証 Logout Management
A2 認証 Weak Passwords
A2 セッション Administrative Portals
A2 セッション Session ID in URL

第6回 IDOR・CSRF
A4 IDOR Change Secret
A4 IDOR Reset Secret
A4 IDOR Order Tickets
A8 CSRF change password
A8 CSRF change seacret
A8 CSRF trancefer amount

第7回認可
A7 認可 Directory Traversal – Directories
A7 認可 Directory Traversal – Files
A7 認可 Remote & Local File Inclusion (RFI/LFI)
A7 認可 SSRF
A7 認可 XML External Entity Attacks (XXE)

第8回リダイレクト・情報公開・ファイルアップロード
A10 Redirect 1
A10 Redirect 2
その他 information disclosure header
その他 information disclosure php version
その他 information disclosure robots.txt
その他 fileupload

＊メニューは予告なく変更になることがございます。分かりやすいものを選定して参りますのでよろしくお願い致します。

テスティングサイトの向き合い方

DVWAやbWappは、メニューさえ解けばそれで終わりかと思われるかもしれませんが、使い方は奥深いものがあります。
最初は、解き方の事例をまねて、脆弱性を出してみる（最初の解き方の例はご提供いたします）
何度かやってみる。最初は何をやってるかよく分からないかもしれませんが、やる度に新たに疑問や発見が出てくると思います。リクエストを見てみたり、ソースを見てみたり、思った通りに動かなかったり。少しずつHTTPやWEBアプリケーション、脆弱性への理解が深まっている時間だと思います。
疑問がでれば、そのとき、もう一度、書籍・ネットなどで調べてみてください（ご自分で疑問に思って調べた知識は、深い理解に繋がると思います。）。セミナーでも質問対応の機会が増やせればと思っております。
次は何をするんだっけ。なぜこうなるんだろう？あれっ前と動作が違うような。これができるということは、これもできるのかな？といっぱい考えて、調べて、試していってください。
攻撃手法の理解も進めば、新しい解き方やペイロードも試してみたくなると思います。ここまでくると楽しくなっているのではないでしょうか。メニュー以外の脆弱性も見つけたり、解き方のアイデアが思い浮かぶようになれば、そろそろ次のステップかもしれません。
当会では、参加者様が本来の課題以外のところでできるだけ労力を費やさないよう、テスティングサイトで、どこに気づけばいいのか、何を学べるのかをしっかりお伝えできればと思います。