このエントリーをはてなブックマークに追加

Nov

13

ペネトレーションテストの為のステップアップ講座 A1.HTTP基礎 part2 セッション編

セッションIDを守りましょう!

Registration info

参加枠1

1380(Pay at the door)

Attendees
3

参加者への情報
(参加者と発表者のみに公開されます)

Description

基礎講座スタートします

  • 体験会にご参加頂いている方から、基礎からしっかり理解したいとの要望も増えてきましたので、スムースにステップアップできるようカリキュラムを作成致しました。
  • 今より上のレベルに行くには、基礎固めするのが大事です。
  • このご機会に是非、当セミナーを活用して、WEBセキュリティ技術を磨いてください。

お支払いにつきまして

  • 事前にpaypayのID/電話番号をメッセージをお送りしますので、そちらに送金をお願い致します。
  • 参加受付欄に、会場払い 1380円とありますが、まぎわらしくて申し訳ありません。
  • 接続ができない、その他の事情でセミナーが受けれない場合は、次回セミナー分とさせて頂くか、返金させて頂きます。
  • 領収書が必要な場合は、PDFで領収書をお送りします。(宛名をメッセージでお送りください)

当日の内容

  • 前回させて頂いたBurpの使い方復習、セッションまでを行います。
  • 新しい練習サイト付き(半年間ご提供)
  • 前回セミナーや練習サイトの質問も回答させて頂きます。
  • 90分くらいを予定してます。

セッションの内容です

  • HTTPは、ページ間でデータを渡すのが苦手
  • データを渡せ GET/hidden/COOKIE
  • WEBアプリケーションの認証の要、セッション
  • セッションを使わないと... リクエストはぜんぶ改ざんできるんです
  • クッキーが盗まれると..
  • クロスサイトって
  • クッキーを守れ(最近のブラウザの防御)

IPA健康診断項目の「XSS、CSRF、セッション管理の不備」を理解する基本知識になります。

セッションを避けてきた方も、ぜひこのご機会にご参加ください。


対象: 普段PCを触っていて、WEBやHTTPの中身を知らない方
A1.HTTPレスポンス・リクエスト/ステータスコード
A2.URLの仕組み GET / POST パラメータ 
A3.HTTPクッキー・リダイレクト
A4.html エスケープ処理
A5.Javascript / SQL

用意するもの

  • PC (ブラウザはクローム推奨)
  • バープインストールは任意です(コミュニティー版)
  • 見て頂くだけでも結構です。

☆A. HTTP/WEBの仕組みを覚えよう

対象: 普段PCを触っていて、WEBやHTTPの中身を知らない方
A1.HTTPレスポンス・リクエスト/ステータスコード
A2.URLの仕組み GET / POST パラメータ 
A3.HTTPクッキー・リダイレクト
A4.html エスケープ処理
A5.Javascript / SQL

HTTPの基本を理解した後は、診断ツールBurpの使い方をマスターし、

IPA健康診断の診断項目をベースに具体的な攻撃手法を学んでいきます。

最後には、当会で製作したテストサイトを使い、今まで学んだテクニックで、実際に侵入を試みて頂きます。

☆B. Burp Suiteに慣れよう

対象: HTTP/WEBの仕組みを理解されている方
B1.インストール Burpの基本 ローカルプロキシ 内臓ブラウザ target設定
B2.レスポンス・リクエストをBurpで確認 history機能
B3.クッキー/リダイレクトをBurpで見てみよう
B4.インターセプトしてパラメータを書き換えよう
B5.リピータ・イントルーダー

☆C. 診断項目基礎 (IPA ウェブ健康診断仕様)

対象: HTTP/WEBの仕組み / Burpの使い方をマスターされている方
C1.XSS
C2.SQLインジェクション
C3.CSRF
C4.OSコマンドインジェクション
C5.ファイルアップロード
C6.ディレクトリトラバーサル
C7.オープンリダイレクト
C8.認証/認可
C9.セッション
C10.ヘッダインジェクション
C11.サーバー設定(ディレクトリリスティング、httponly/secure) robots.txt

*(概要 テストサイトで再現 どんな危険があるか 対策)

☆D. テスティングサイト dvwa / bwapp 演習

対象: HTTP/WEBの仕組み / Burpの使い方 / 診断項目基礎をマスターされている方
*メニューを選定中です。しばらくお待ちください。

☆E. ペネトレーション腕試し(初級)

対象: HTTP/WEBの仕組み / Burpの使い方 / 診断項目基礎をマスターされている方 dvwa / bwappのトレーニングを始められている方推奨
当会で作成した脆弱性のあるアプリケーションを使います。(9/18 ペネトレーション体験会で使用)
  • 今まで習得したテクニックを駆使して、RCE(リモートコード実行)を狙ってください。

  • WEBアプリケーションの弱点を見つけ、侵入までを一通り体験することができます。

  • 今まで学んだ内容の習熟度が確認できます。弱点と思われた部分の講座を繰り返すことで、しっかり基礎固めをして頂けます。

上記カリキュラムの内容は、常にブラッシュアップして参りますので、予告なく追加・変更することがございます。

対象者

  • WEBセキュリティ・脆弱性診断を覚えたい方
  • 普段PCを触っていて、WEBやHTTPの中身を知らない方
  • 全体的に初心者レベルです。バリバリされている方には簡単過ぎるかもしれません。
  • ネットワーク / フォレンジック / アプリ・IOT / 情報セキュリティはやりません。
  • ペネトレーションも、WEBアプリケーション中心です。エクスプロイト、サーバー内探索、権限昇格などは予定してません。ファイルアップロードし、実行くらいまでを予定しております。
  • WEBアプリケーションの基礎をマスターすることで、脆弱性診断、セキュアコーディングの知識がつき、セキュリティエンジニアとしてもレベルアップが可能かと思います。

他情報

書籍 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版

IPA ウェブ健康診断仕様

burp suite community版(無料版)

テスティング環境構築 virtualbox + owasp BWA(ovaファイル)

owasp BWA(ovaファイル) 2.4G

参加者様の管理外のサーバーで試すことはお止めください

注意. 当会でお伝えする手法や、ツールは、実世界のサーバーの破壊をする力がございます。 トレーニングは、ローカル環境、自己の管理サーバー以外には、決して行わないようにしてください。 当会では、会員様の行為によっておこったあらゆる障害に一切責任・関知を致しません。

Media View all Media

If you add event media, up to 3 items will be shown here.

Feed

WEBセキュリティー修行中

WEBセキュリティー修行中 published ペネトレーションテストの為のステップアップ講座 A1.HTTP基礎 part2 セッション編.

11/06/2022 21:55

ペネトレーションテストの為のステップアップ講座 A1.HTTP/WEB基礎 part2 オンライン を公開しました!

Ended

2022/11/13(Sun)

13:00
14:20

You cannot RSVP if you are already participating in another event at the same date.

Registration Period
2022/11/06(Sun) 21:00 〜
2022/11/13(Sun) 12:00

Location

オンライン

オンライン

オンライン

Attendees(3)

koucha

koucha

ペネトレーションテストの為のステップアップ講座 A1.HTTP/WEB基礎 part2 オンラインに参加を申し込みました!

Yama

Yama

ペネトレーションテストの為のステップアップ講座 A1.HTTP基礎 part2 セッション編に参加を申し込みました!

白魚

白魚

ペネトレーションテストの為のステップアップ講座 A1.HTTP基礎 part2 セッション編 に参加を申し込みました!

Attendees (3)