| Registration info |
参加枠1 Free
Attendees
|
|---|---|
| 参加者への情報 |
(参加者と発表者のみに公開されます)
|
Description
対象者
- ペネトレーションテスト・脆弱性診断を目指したい方
- 普段PCを触っていて、WEBやHTTPの中身を知らない方
- 全体的に初心者レベルです。バリバリされている方には簡単過ぎるかもしれません。
- thm / htbをされている方も、WEBアプリケーションを基本から学び直したい方にはお勧めです。
オンライン開始します
- セミナー時間は、40分を予定してます。多少前後するかもしれません。
- teamsを利用し、開始10分ほど前に、参加者様に会議室URLをお送りしますので、接続テストなどお願いします。
- 顔出しは、任意です。
- セミナーが始まると、マイクはOFFでお願いします。
- 進行スタイルは試行錯誤中ですが、当初は、項目ごとに説明させて頂いて、ご質問ある場合は、説明後に回答させて頂くスタイルを考えております。質問は、チャットでお願いします。時間の関係で全て回答できないかもしれませんが、ご容赦ください。
- 司会者は、まだオンラインに不慣れなため、進行や操作でスムースにいかない点もあるかと思います。皆様にとって1回で1つでもマスターして頂ける時間になることを目指して参りますので、宜しくお願い致します。
基礎講座スタートします
体験会にご参加頂いている方から、基礎からしっかり理解したいとの要望も増えてきましたので、
スムースにステップアップできるようカリキュラムを作成致しました。
今より上のレベルに行くには、基礎固めするのが大事です。
このご機会に是非、当セミナーを活用して、診断やペネトレーション技術を磨いてください。
当日の内容
☆A HTTP/WEBの仕組みを覚えよう
| 対象: 普段PCを触っていて、WEBやHTTPの中身を知らない方 |
|---|
| A4.html エスケープ処理 |
10/2のセミナーでは予想外に進んでしまい、次回はA4になります。
HTTPヘッダの補足(referer / user-agent など)も行います。
見学だけの方もいらっしゃって下さい!
持ち物
- ノートPC (ブラウザはクローム推奨)
- Wifi環境・AC電源はございます。
- 手ぶらで見て頂くだけでも結構です。
今後のスケジュール
- オンラインは、毎週日曜の昼開催予定ですが、ご要望あれば、平日の早朝・夜も考えております。
- 基礎部分は、目標1ヶ月くらいで進んで頂き、早くテスティングサイト等のトレーニングにいった方がモチベーションも保ちやすいと思いますので、参加頂きやすい曜日・時刻を模索して参ります。
☆A. HTTP/WEBの仕組みを覚えよう
| 対象: 普段PCを触っていて、WEBやHTTPの中身を知らない方 |
|---|
| A1.HTTPレスポンス・リクエスト/ステータスコード |
| A2.URLの仕組み GET / POST パラメータ |
| A3.HTTPクッキー・リダイレクト |
| A4.html エスケープ処理 ← 次回(10/9)はこれです! |
| A5.Javascript / SQL |
HTTPの基本を理解した後は、診断ツールBurpの使い方をマスターし、
IPA健康診断の診断項目をベースに具体的な攻撃手法を学んでいきます。
最後には、当会で製作したテストサイトを使い、今まで学んだテクニックで、実際に侵入を試みて頂きます。
☆B. Burp Suiteに慣れよう
| 対象: HTTP/WEBの仕組みを理解されている方 |
|---|
| B1.インストール Burpの基本 ローカルプロキシ 内臓ブラウザ target設定 |
| B2.レスポンス・リクエストをBurpで確認 history機能 |
| B3.クッキー/リダイレクトをBurpで見てみよう |
| B4.インターセプトしてパラメータを書き換えよう |
| B5.リピータ・イントルーダー |
☆C. 診断項目基礎 (IPA ウェブ健康診断仕様)
| 対象: HTTP/WEBの仕組み / Burpの使い方をマスターされている方 |
|---|
| C1.XSS |
| C2.SQLインジェクション |
| C3.CSRF |
| C4.OSコマンドインジェクション |
| C5.ファイルアップロード |
| C6.ディレクトリトラバーサル |
| C7.オープンリダイレクト |
| C8.認証/認可 |
| C9.セッション |
| C10.ヘッダインジェクション |
| C11.サーバー設定(ディレクトリリスティング、httponly/secure) robots.txt |
*(概要 テストサイトで再現 どんな危険があるか 対策)
☆D. テスティングサイト dvwa / bwapp 演習
| 対象: HTTP/WEBの仕組み / Burpの使い方 / 診断項目基礎をマスターされている方 |
|---|
| *メニューを選定中です。しばらくお待ちください。 |
☆E. ペネトレーション腕試し(初級)
| 対象: HTTP/WEBの仕組み / Burpの使い方 / 診断項目基礎をマスターされている方 dvwa / bwappのトレーニングを始められている方推奨 |
|---|
| 当会で作成した脆弱性のあるアプリケーションを使います。(9/18 ペネトレーション体験会で使用) |
-
今まで習得したテクニックを駆使して、RCE(リモートコード実行)を狙ってください。
-
WEBアプリケーションの弱点を見つけ、侵入までを一通り体験することができます。
-
今まで学んだ内容の習熟度が確認できます。弱点と思われた部分の講座を繰り返すことで、しっかり基礎固めをして頂けます。
上記カリキュラムの内容は、常にブラッシュアップして参りますので、予告なく追加・変更することがございます。
他情報
書籍 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版
テスティング環境構築 virtualbox + owasp BWA(ovaファイル)
★ スタートアップキャンペーン!
10月いっぱいまでは、無料でご提供 !
以降は、セミナー1回につき1000円程度を予定しております。
参加者様の管理外のサーバーで試すことはお止めください
注意. 当会でお伝えする手法や、ツールは、実世界のサーバーの破壊をする力がございます。 トレーニングは、ローカル環境、自己の管理サーバー以外には、決して行わないようにしてください。 当会では、会員様の行為によっておこったあらゆる障害に一切責任・関知を致しません。
Media View all Media
If you add event media, up to 3 items will be shown here.
Feed
10/09/2022 17:02
10/02/2022 21:16
ペネトレーションテストの為のステップアップ講座 (初級) A4 オンライン を公開しました!
WEBセキュリティー修行中
The IT meetup platform
connpass is made by BeProud Inc. in Tokyo Japan