当日の内容

WEBセキュリティーの総本山?ポートスイッガー社の提供の問題を、まったり解いていきます。

https://portswigger.net/web-security

メーアドを入れて、会員登録が必要です。

＊英語サイトですが、クロームの翻訳機能など使えば、分かるくらいに訳してくれると思います。

タイトルに「まったり」と入れてますが、司会、余裕がなくなって、必死になっていてもご容赦ください。

＊途中参加、退席自由ですので、お気軽にどうぞ！

対象者

• WEB/HTTPの基礎(html/js/php/sql)が大まかに分かる。
• bbwapp/dvwaとか、CFTのWEB問とかやった
• もっと実際ありそうなサイトでやりたい。
• 侵入パターン/ペイロードをたくさん覚えたい

用意するもの Burp 無料版・有料版

＊burpは、最初は、無料版でできる問題を選んでいきます。

　プロ版も、

　https://portswigger.net/burp/pro/trial

　にメーアドを入れて、1,2日後?にキーが送られてきて、

　1ヶ月間、無料で試用できます。

＊当日は、見て頂くだけでも結構です

心構え

＊たまに、全く分からず心を折ってくる問題もありますが、何回かやってると、問題自体を覚え、抵抗が薄れてくると思います。

ここは、次回、似たような問題・ケースに出会ったとき、前回と比べて少しでも進めれば、収穫ありではないでしょうか

場合によっては、手前のトレーニングサイトをやったり、WEBの基礎に戻るのもいいと思います。

（私も、つまづくとしょっちゅう基礎に戻ってます。

アカデミーの問題は、簡単な問題、難しい問題と、玉砕混合な感じもしますが、基礎力・ツールの使い方・サイトの機能の理解・ペイロードの使い方・調べる力・精神力と、WEBセキュリティーを目指す者にとって、必要な要素を底上げできるのではないでしょうか

司会は、まだまだ入門中ですが、アカデミーの半分でもパターンをマスターできれば、診断時に、脆弱性発見率があがりモチベーション上がるのではと思い、取り組み中です。

参加者さんにも解いて頂ければ...

参加者様の中で、自分の解き方を他の方に見てもらいたい。というのも大歓迎です。

画面共有させていただきます。

他情報

書籍 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版

IPA ウェブ健康診断仕様

IPA 安全なウェブサイトの作り方

burp suite community版(無料版)

virtualboxインストール

＊多くの方が環境構築の方法をまとめてくださってます。非常に助かります！

テスティング環境構築 virtualbox + DVWA(isoファイル)

テスティング環境構築 virtualbox + owasp BWA(ovaファイル)

owasp BWA(ovaファイル) 2.4G

bee-boxイメージ bee-box_v1.6.7z

portswigger academy

参加者様の管理外のサーバーで試すことはお止めください

注意. 当会でお伝えする手法や、ツールは、実世界のサーバーの破壊をする力がございます。 トレーニングは、ローカル環境、自己の管理サーバー以外には、決して行わないようにしてください。 当会では、会員様の行為によっておこったあらゆる障害に一切責任・関知を致しません。