このエントリーをはてなブックマークに追加

Oct

9

ペネトレーションテストの為のステップアップ講座 (初級) A4 オンライン

オンラインはじまります。宜しくお願いします。

Registration info

参加枠1

Free

Attendees
10

参加者への情報
(参加者と発表者のみに公開されます)

Description

対象者

  • ペネトレーションテスト・脆弱性診断を目指したい方
  • 普段PCを触っていて、WEBやHTTPの中身を知らない方
  • 全体的に初心者レベルです。バリバリされている方には簡単過ぎるかもしれません。
  • thm / htbをされている方も、WEBアプリケーションを基本から学び直したい方にはお勧めです。

オンライン開始します

  • セミナー時間は、40分を予定してます。多少前後するかもしれません。
  • teamsを利用し、開始10分ほど前に、参加者様に会議室URLをお送りしますので、接続テストなどお願いします。
  • 顔出しは、任意です。
  • セミナーが始まると、マイクはOFFでお願いします。
  • 進行スタイルは試行錯誤中ですが、当初は、項目ごとに説明させて頂いて、ご質問ある場合は、説明後に回答させて頂くスタイルを考えております。質問は、チャットでお願いします。時間の関係で全て回答できないかもしれませんが、ご容赦ください。
  • 司会者は、まだオンラインに不慣れなため、進行や操作でスムースにいかない点もあるかと思います。皆様にとって1回で1つでもマスターして頂ける時間になることを目指して参りますので、宜しくお願い致します。

基礎講座スタートします

体験会にご参加頂いている方から、基礎からしっかり理解したいとの要望も増えてきましたので、

スムースにステップアップできるようカリキュラムを作成致しました。

今より上のレベルに行くには、基礎固めするのが大事です。

このご機会に是非、当セミナーを活用して、診断やペネトレーション技術を磨いてください。

当日の内容

☆A HTTP/WEBの仕組みを覚えよう

対象: 普段PCを触っていて、WEBやHTTPの中身を知らない方
A4.html エスケープ処理

10/2のセミナーでは予想外に進んでしまい、次回はA4になります。

HTTPヘッダの補足(referer / user-agent など)も行います。

見学だけの方もいらっしゃって下さい!

持ち物

  • ノートPC (ブラウザはクローム推奨)
  • Wifi環境・AC電源はございます。
  • 手ぶらで見て頂くだけでも結構です。

今後のスケジュール

  • オンラインは、毎週日曜の昼開催予定ですが、ご要望あれば、平日の早朝・夜も考えております。
  • 基礎部分は、目標1ヶ月くらいで進んで頂き、早くテスティングサイト等のトレーニングにいった方がモチベーションも保ちやすいと思いますので、参加頂きやすい曜日・時刻を模索して参ります。

☆A. HTTP/WEBの仕組みを覚えよう

対象: 普段PCを触っていて、WEBやHTTPの中身を知らない方
A1.HTTPレスポンス・リクエスト/ステータスコード
A2.URLの仕組み GET / POST パラメータ 
A3.HTTPクッキー・リダイレクト
A4.html エスケープ処理 ← 次回(10/9)はこれです!
A5.Javascript / SQL

HTTPの基本を理解した後は、診断ツールBurpの使い方をマスターし、

IPA健康診断の診断項目をベースに具体的な攻撃手法を学んでいきます。

最後には、当会で製作したテストサイトを使い、今まで学んだテクニックで、実際に侵入を試みて頂きます。

☆B. Burp Suiteに慣れよう

対象: HTTP/WEBの仕組みを理解されている方
B1.インストール Burpの基本 ローカルプロキシ 内臓ブラウザ target設定
B2.レスポンス・リクエストをBurpで確認 history機能
B3.クッキー/リダイレクトをBurpで見てみよう
B4.インターセプトしてパラメータを書き換えよう
B5.リピータ・イントルーダー

☆C. 診断項目基礎 (IPA ウェブ健康診断仕様)

対象: HTTP/WEBの仕組み / Burpの使い方をマスターされている方
C1.XSS
C2.SQLインジェクション
C3.CSRF
C4.OSコマンドインジェクション
C5.ファイルアップロード
C6.ディレクトリトラバーサル
C7.オープンリダイレクト
C8.認証/認可
C9.セッション
C10.ヘッダインジェクション
C11.サーバー設定(ディレクトリリスティング、httponly/secure) robots.txt

*(概要 テストサイトで再現 どんな危険があるか 対策)

☆D. テスティングサイト dvwa / bwapp 演習

対象: HTTP/WEBの仕組み / Burpの使い方 / 診断項目基礎をマスターされている方
*メニューを選定中です。しばらくお待ちください。

☆E. ペネトレーション腕試し(初級)

対象: HTTP/WEBの仕組み / Burpの使い方 / 診断項目基礎をマスターされている方 dvwa / bwappのトレーニングを始められている方推奨
当会で作成した脆弱性のあるアプリケーションを使います。(9/18 ペネトレーション体験会で使用)
  • 今まで習得したテクニックを駆使して、RCE(リモートコード実行)を狙ってください。

  • WEBアプリケーションの弱点を見つけ、侵入までを一通り体験することができます。

  • 今まで学んだ内容の習熟度が確認できます。弱点と思われた部分の講座を繰り返すことで、しっかり基礎固めをして頂けます。

上記カリキュラムの内容は、常にブラッシュアップして参りますので、予告なく追加・変更することがございます。

他情報

書籍 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版

IPA ウェブ健康診断仕様

burp suite community版(無料版)

テスティング環境構築 virtualbox + owasp BWA(ovaファイル)

owasp BWA(ovaファイル) 2.4G

★ スタートアップキャンペーン!

10月いっぱいまでは、無料でご提供 !

以降は、セミナー1回につき1000円程度を予定しております。

参加者様の管理外のサーバーで試すことはお止めください

注意. 当会でお伝えする手法や、ツールは、実世界のサーバーの破壊をする力がございます。 トレーニングは、ローカル環境、自己の管理サーバー以外には、決して行わないようにしてください。 当会では、会員様の行為によっておこったあらゆる障害に一切責任・関知を致しません。

Media View all Media

If you add event media, up to 3 items will be shown here.

Feed

WEBセキュリティー修行中

WEBセキュリティー修行中さんが資料をアップしました。

10/09/2022 17:02

WEBセキュリティー修行中

WEBセキュリティー修行中 published ペネトレーションテストの為のステップアップ講座 (初級) A4 オンライン.

10/02/2022 21:16

ペネトレーションテストの為のステップアップ講座 (初級) A4 オンライン を公開しました!

Ended

2022/10/09(Sun)

13:00
14:00

You cannot RSVP if you are already participating in another event at the same date.

Registration Period
2022/10/02(Sun) 21:00 〜
2022/10/09(Sun) 12:00

Location

(場所未定)

Attendees(10)

unxag_ryo

unxag_ryo

ペネトレーションテストの為のステップアップ講座 (初級) A4 オンラインに参加を申し込みました!

ぴょみゅぴゅひょぴゅみゅく

ぴょみゅぴゅひょぴゅみゅく

前回サクラみたいな参加者だけかわかってたようですが、聞き取りづらかったです

haru777

haru777

ペネトレーションテストの為のステップアップ講座 (初級) A4 オンライン に参加を申し込みました!

ninon1130

ninon1130

ペネトレーションテストの為のステップアップ講座 (初級) A4 オンライン に参加を申し込みました!

5dkyJr

5dkyJr

ペネトレーションテストの為のステップアップ講座 (初級) A4 オンライン に参加を申し込みました!

xadkero7

xadkero7

ペネトレーションテストの為のステップアップ講座 (初級) A4 オンライン に参加を申し込みました!

n.ikemiya

n.ikemiya

ペネトレーションテストの為のステップアップ講座 (初級) A4 オンライン に参加を申し込みました!

osmomo_neo16sb

osmomo_neo16sb

ペネトレーションテストの為のステップアップ講座 (初級) A4 オンラインに参加を申し込みました!

yasu2345

yasu2345

ペネトレーションテストの為のステップアップ講座 (初級) A4 オンラインに参加を申し込みました!

Yama

Yama

ペネトレーションテストの為のステップアップ講座 (初級) A4 オンラインに参加を申し込みました!

Attendees (10)