WEBセキュリティ 初級 (XSS)

2023/02/05(日)13:00 〜 14:30 開催
ブックマーク
#Windows, #Linux, #VirtualBox

イベント内容

お支払いにつきまして

  • 事前にpaypayのID/電話番号をメッセージをお送りしますので、そちらに送金をお願い致します。
  • 参加受付欄に、会場払いとありますが、まぎわらしくて申し訳ありません。
  • 接続ができない、その他の事情でセミナーが受けれない場合は、次回セミナー分とさせて頂くか、返金させて頂きます。
  • 領収書が必要な場合は、PDFで領収書をお送りします。(宛名をメッセージでお送りください)

事前にインストールいただきたい一覧
burp suite community版(無料版) community edition(無料)を選択ください
virtualboxインストール
bee-boxイメージをダウンロード bee-box_v1.6.7z というファイルです。ダウンロード後は、7-zipなどのツールで解凍できると思います
virtualboxにインポート 手順を掲載いたします。お待ちください

virtualboxやbee-boxのインポートは、win11 HOME版で確認しております。

macで動かない。win11 proで動かない。という噂も聞いております。

環境構築の部分は、無料でアドバイスさせて頂きますが、参加者様のOSやバージョン、環境によっては、きちんと動作しない可能性があることをご了承ください。

その場合は、別に win10/11 homeのOSが入ったPCを用意して頂くのが早いかと思います。メモリは最低8Gあれば動作するようです。

当日、インストールや環境構築が間に合わなければ、見て頂くだけでも結構です。

インストールで不明点ありましたら、nishi@wind-labo.com までメール頂けると分かる範囲でご回答させて頂きます。

当日の内容 / タイムテーブル
13:00 - 14:30 クロスサイト(XSS)の説明・当日は、bwappのXSSメニューをランダムに進めます

対象者

  • WEB/HTTPの基礎(html/js/php/sql)が大まかに分かる、次はトレーニングに移りたい。
  • burpを触ったことがある。次は、具体的な脆弱性項目に触れていきたい。

学習の流れ

  • WEB/HTTPの基礎 (html/js/php/sql)
  • burpの使い方(インストール / 内臓ブラウザ / history / intercept / repeater)など
  • テスティングサイトで、解き方を見ながら脆弱性を出す(bwapp / dvwa)
  • さらにリアルでレベルの高いテスティングサイトでトレーニング
  • 得たスキルを脆弱性診断に生かしたり、バグバウンティに挑戦したり。

*HTTP基礎や、burp使い方は、希望者が集まり次第、開催させていただきます。しばらくお待ちください。

FAQ

Q. virtualboxって何ですか?

A. windowsやmacで、linuxなど他のOSを動かせるソフトです

Q. DVWAって?

A. セキュリティのトレーニング用サイトで、わざと穴が開けられてます。

 isoイメージファイルで配布されているので、virtualboxにインポートして動かします

 お使いのPC内でトレーニングサイトが動きますので、安全にトレーニングができます

Q. bWapp(ビーワップ)って?

A. こちらもDVWAと同じく、セキュリティのトレーニング用サイトです。。

 メニュー数が多く、トレーニング用として質の高いメニューが用意されています。分からないメニューは飛ばしてどんどん進めましょう

Q. 脆弱性診断とペネトレーションテストの違いって

脆弱性診断は、網羅的に侵入の起点となる穴を探して報告し、開発陣で防いでもらうことで、セキュリティのレベルを上げる考えです。

ペネトレーションテスト(ペンテスト)は、サーバー内やネットワーク内の盗むデータの目標を決め、起点となる穴を見つけ、さらにターゲットまでの経路を考え、侵入、しいてはデータが盗めるかまでをテストします。

当セミナーでは、IPA WEB健康診断仕様やガイドラインという診断の手順書をご紹介しており、そちらを体験頂くことで診断の雰囲気が分かると思います。実際の診断会社様の診断手順は非公開なので推測になりますが、IPAやOWASP JAPANという信頼のある機関が発行しているものですので、参考になると思います。

WEBアプリケーションのペネトレーションの方は、穴を見つけるだけではダメで、そこからさらに数カ所の関門を突破する必要があると思いますので、侵入用のノウハウ・トレーニングが必要です。

診断会社によっては、ペネトレーションに近いこともされている会社さんもおられると思うので、一概に言い切れないのですが

他情報

書籍 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版

IPA ウェブ健康診断仕様

IPA 安全なウェブサイトの作り方

burp suite community版(無料版)

virtualboxインストール

*多くの方が環境構築の方法をまとめてくださってます。非常に助かります!

テスティング環境構築 virtualbox + DVWA(isoファイル)

テスティング環境構築 virtualbox + owasp BWA(ovaファイル)

owasp BWA(ovaファイル) 2.4G

bee-boxイメージ bee-box_v1.6.7z

portswigger academy

参加者様の管理外のサーバーで試すことはお止めください

注意. 当会でお伝えする手法や、ツールは、実世界のサーバーの破壊をする力がございます。 トレーニングは、ローカル環境、自己の管理サーバー以外には、決して行わないようにしてください。 当会では、会員様の行為によっておこったあらゆる障害に一切責任・関知を致しません。

注意事項

※ こちらのイベント情報は、外部サイトから取得した情報を掲載しています。
※ 掲載タイミングや更新頻度によっては、情報提供元ページの内容と差異が発生しますので予めご了承ください。
※ 最新情報の確認や参加申込手続き、イベントに関するお問い合わせ等は情報提供元ページにてお願いします。
情報提供元ページ(connpass)へ

新規会員登録

このイベントに申し込むには会員登録が必要です。
アカウント登録済みの方はログインしてください。

※ ソーシャルアカウントで登録するとログインが簡単に行えます。

※ 連携したソーシャルアカウントは、会員登録完了後にいつでも変更できます。

関連するイベント