注意事項

セキュリティという性質から受講者さまの質を重視しております。

ルールが守れない方の参加、スパイ目的の参加、および無断録画、無断資料配布（動画含む）は、固くお断りします。

・本セミナーは、教育目的として開催します。

・開催者は、いかなる損害についても責任を負いません。

・ツールや情報の誤用について、責任を負いません。

はじめに

本セミナーでは、どなたでもご理解できるようにゆっくりと丁寧なレベルでレクチャいたします。

・顔の見えるセミナーをコンセプトにしております。

・WEBカメラでのご参加を必須条件とさせていただきます。（マスク着用可）

　※google meetでの背景変更は下記を参考。
　https://support.google.com/meet/answer/10058482?hl=ja&co=GENIE.Platform%3DDesktop

セミナー概要

基本的なBurp Suiteの知識のある方向けに、より高度な概念が含まれたハンズオントレーニングとなります。
Burp Suiteを使用して、Web アプリケーションとAPIのセキュリティ体制をテストできるところを目標とします。
Burp Suiteで、HTTP トラフィックをリッスンできることが最低条件となります。

・Burp Suiteメニュー

　　イントルーダによるペネトレーション
　　プロジェクト構成
　　ユーザ構成
　　ターゲットサイトのクロール
　　カスタムスキャンスクリプト
　　問題の確認
　　アカウントの列挙と推測可能なアカウントのテスト
　　弱いロックアウトメカニズムのテスト
　　ブラウザキャッシュのテスト
　　REST API を介したテスト
　　ディレクトリトラバーサルのテスト
　　権限昇格のテスト
　　Sequencerによる強度テスト
　　Cookie 属性のテスト
　　クロスサイトリクエストフォージェリのテスト
　　プロセスタイミング攻撃
　　ワークフローの回避
　　悪意のあるファイルのアップロード
　　クリックジャッキング（Clickbandit）
　　DOM ベースのクロスサイト スクリプティング
　　DOM Invaderの活用
　　セッション処理マクロ
　　Cookie jar
　　ペンテスタープラグイン
　　カスタム問題の追加と追跡拡張機能
　　Burp Suite 拡張機能
　　Java 逆シリアル化攻撃
　　GraphQLのハッキング

※本セミナーを受講するにあたり、前準備が必要となります。
※募集前に予定されるメニューを赤文字で表示しますが、進行状況により内容の一部を変更する可能性もあります。

コース一覧

当セミナーでは、みなさまのご経験に応じてコースを設けております。
対象者の基準を下記のとおり、想定しております。

W1．《入門》セキュリティスキル習得への一歩を踏み出したい"新たな"入門者向け【コード：W1-***】

⇧ 脆弱性を理解して、テスティングサイトの構築方法や脆弱性診断ツールの基本的な使い方を知りたい方

W2．《初級》キャリアプランに脆弱性診断を追加したい"未来の"初級者向け【コード：W2-***】

⇧ OWASP TOP10を理解し、テスティングサイトを構築して脆弱性診断ツールを使って診断をやり始めた方

W3．《中級》さらなる実力を身につけて実務に活かしたい"攻めの"中級者向け【コード：W3-***】

⇧ テスティングサイト等で、基本的な脆弱性診断の体験をしてエンドポイントやパラメータを理解されている方

W4．《実践》実践的な脆弱性診断手法を学んで飛躍したい"試練の"上級者向け【コード：W4-***】

⇧ 一連の脆弱性診断スキルを身につけたものの更にバグバウンティの例から実践的なテクニックを身につけたい方

こんな人にオススメ

■エンジニア、学生の方々

・セキュリティに興味があるが、何をやってもうまくいかずスキル習得に苦戦をされている方

・CTFやバグバウンティ、ペネトレーションテスト、ホワイトハッカーに興味のある方

登壇者紹介

ブログ『Shikata Ga Nai』を運営しています。

お願い

ご参加が難しくなられた場合は、なるべく早めのキャンセルをしていただけますと幸いです。