ペネトレーションテストの為の まったりアカデミー

2023/02/04(土)13:00 〜 14:30 開催
ブックマーク

イベント内容

当日の内容

WEBセキュリティーの総本山?ポートスイッガー社の提供の問題を、まったり解いていきます。

https://portswigger.net/web-security

メーアドを入れて、会員登録が必要です。

*英語サイトですが、クロームの翻訳機能など使えば、分かるくらいに訳してくれると思います。

タイトルに「まったり」と入れてますが、司会、余裕がなくなって、必死になっていてもご容赦ください。

*途中参加、退席自由ですので、お気軽にどうぞ!

対象者

  • WEB/HTTPの基礎(html/js/php/sql)が大まかに分かる。
  • bbwapp/dvwaとか、CFTのWEB問とかやった
  • もっと実際ありそうなサイトでやりたい。
  • 侵入パターン/ペイロードをたくさん覚えたい

用意するもの Burp 無料版・有料版

*burpは、最初は、無料版でできる問題を選んでいきます。

 プロ版も、

 https://portswigger.net/burp/pro/trial

 にメーアドを入れて、1,2日後?にキーが送られてきて、

 1ヶ月間、無料で試用できます。

*当日は、見て頂くだけでも結構です

心構え

*たまに、全く分からず心を折ってくる問題もありますが、何回かやってると、問題自体を覚え、抵抗が薄れてくると思います。

ここは、次回、似たような問題・ケースに出会ったとき、前回と比べて少しでも進めれば、収穫ありではないでしょうか

場合によっては、手前のトレーニングサイトをやったり、WEBの基礎に戻るのもいいと思います。

(私も、つまづくとしょっちゅう基礎に戻ってます。

アカデミーの問題は、簡単な問題、難しい問題と、玉砕混合な感じもしますが、基礎力・ツールの使い方・サイトの機能の理解・ペイロードの使い方・調べる力・精神力と、WEBセキュリティーを目指す者にとって、必要な要素を底上げできるのではないでしょうか

司会は、まだまだ入門中ですが、アカデミーの半分でもパターンをマスターできれば、診断時に、脆弱性発見率があがりモチベーション上がるのではと思い、取り組み中です。

参加者さんにも解いて頂ければ...

参加者様の中で、自分の解き方を他の方に見てもらいたい。というのも大歓迎です。

画面共有させていただきます。

他情報

書籍 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版

IPA ウェブ健康診断仕様

IPA 安全なウェブサイトの作り方

burp suite community版(無料版)

virtualboxインストール

*多くの方が環境構築の方法をまとめてくださってます。非常に助かります!

テスティング環境構築 virtualbox + DVWA(isoファイル)

テスティング環境構築 virtualbox + owasp BWA(ovaファイル)

owasp BWA(ovaファイル) 2.4G

bee-boxイメージ bee-box_v1.6.7z

portswigger academy

参加者様の管理外のサーバーで試すことはお止めください

注意. 当会でお伝えする手法や、ツールは、実世界のサーバーの破壊をする力がございます。 トレーニングは、ローカル環境、自己の管理サーバー以外には、決して行わないようにしてください。 当会では、会員様の行為によっておこったあらゆる障害に一切責任・関知を致しません。

注意事項

※ こちらのイベント情報は、外部サイトから取得した情報を掲載しています。
※ 掲載タイミングや更新頻度によっては、情報提供元ページの内容と差異が発生しますので予めご了承ください。
※ 最新情報の確認や参加申込手続き、イベントに関するお問い合わせ等は情報提供元ページにてお願いします。

関連するイベント