このエントリーをはてなブックマークに追加

Nov

13

ペネトレーションテストの為のステップアップ講座 C4.OSコマンドインジェクション オンライン

寒くなりましたね。WEBセキュリティが楽しいシーズンです。

Registration info

参加枠1

Free

Attendees
12

参加者への情報
(参加者と発表者のみに公開されます)

Description

対象者

  • WEBセキュリティ・脆弱性診断を覚えたい方
  • 普段PCを触っていて、WEBやHTTPの中身を知らない方
  • 全体的に初心者レベルです。バリバリされている方には簡単過ぎるかもしれません。
  • ネットワーク / フォレンジック / アプリ・IOT / 情報セキュリティはやりません。
  • ペネトレーションも、WEBアプリケーション中心です。エクスプロイト、サーバー内探索、権限昇格などは予定してません。ファイルアップロードし、実行くらいまでを予定しております。
  • WEBアプリケーションの基礎をマスターすることで、脆弱性診断、セキュアコーディングの知識がつき、セキュリティエンジニアとしてもレベルアップが可能かと思います。

オンライン開始します

  • セミナー時間は、40分を予定してます。多少前後するかもしれません。
  • google meetを利用し、開始1時間ほど前に、参加者様に会議室URLをお送りしますので、接続テストなどお願いします。
  • 顔出しは任意ですが、出していただけると、皆様の反応が分かり進行がスムースになるかもしれません。
  • 進行スタイルは試行錯誤中ですが、説明途中にチャットでご質問頂いて随時ご回答できればと思ってます。挙手頂いて、マイクONで質問頂いてもいいかと思います。

基礎講座スタートします

体験会にご参加頂いている方から、基礎からしっかり理解したいとの要望も増えてきましたので、

スムースにステップアップできるようカリキュラムを作成致しました。

今より上のレベルに行くには、基礎固めするのが大事です。

このご機会に是非、当セミナーを活用して、WEBセキュリティ技術を磨いてください。

当日の内容

☆C. 診断項目基礎 (IPA ウェブ健康診断仕様)

対象: HTTP/WEBの仕組み / Burpの使い方をマスターされている方
C4.OSコマンドインジェクション

次回は、OSコマンドインジェクションになります。

見学だけの方もいらっしゃって下さい!

今後のスケジュール

  • オンラインは、毎週日曜の昼開催予定ですが、ご要望あれば、平日の早朝・夜も考えております。
  • 基礎部分は、目標1ヶ月くらいで進んで頂き、早くテスティングサイト等のトレーニングにいった方がモチベーションも保ちやすいと思いますので、参加頂きやすい曜日・時刻を模索して参ります。

☆A. HTTP/WEBの仕組みを覚えよう

対象: 普段PCを触っていて、WEBやHTTPの中身を知らない方
A1.HTTPレスポンス・リクエスト/ステータスコード
A2.URLの仕組み GET / POST パラメータ 
A3.HTTPクッキー・リダイレクト
A4.html エスケープ処理
A5.Javascript / SQL

HTTPの基本を理解した後は、診断ツールBurpの使い方をマスターし、

IPA健康診断の診断項目をベースに具体的な攻撃手法を学んでいきます。

最後には、当会で製作したテストサイトを使い、今まで学んだテクニックで、実際に侵入を試みて頂きます。

☆B. Burp Suiteに慣れよう

対象: HTTP/WEBの仕組みを理解されている方
B1.インストール Burpの基本 ローカルプロキシ 内臓ブラウザ target設定
B2.レスポンス・リクエストをBurpで確認 history機能
B3.クッキー/リダイレクトをBurpで見てみよう
B4.インターセプトしてパラメータを書き換えよう
B5.リピータ・イントルーダー

☆C. 診断項目基礎 (IPA ウェブ健康診断仕様)

対象: HTTP/WEBの仕組み / Burpの使い方をマスターされている方
C1.XSS
C2.SQLインジェクション
C3.CSRF
C4.OSコマンドインジェクション ← 次回(11/13)はこれ !
C5.ファイルアップロード
C6.ディレクトリトラバーサル
C7.オープンリダイレクト
C8.認証/認可
C9.セッション
C10.ヘッダインジェクション
C11.サーバー設定(ディレクトリリスティング、httponly/secure) robots.txt

*(概要 テストサイトで再現 どんな危険があるか 対策)

☆D. テスティングサイト dvwa / bwapp 演習

対象: HTTP/WEBの仕組み / Burpの使い方 / 診断項目基礎をマスターされている方
*メニューを選定中です。しばらくお待ちください。

☆E. ペネトレーション腕試し(初級)

対象: HTTP/WEBの仕組み / Burpの使い方 / 診断項目基礎をマスターされている方 dvwa / bwappのトレーニングを始められている方推奨
当会で作成した脆弱性のあるアプリケーションを使います。(9/18 ペネトレーション体験会で使用)
  • 今まで習得したテクニックを駆使して、RCE(リモートコード実行)を狙ってください。

  • WEBアプリケーションの弱点を見つけ、侵入までを一通り体験することができます。

  • 今まで学んだ内容の習熟度が確認できます。弱点と思われた部分の講座を繰り返すことで、しっかり基礎固めをして頂けます。

上記カリキュラムの内容は、常にブラッシュアップして参りますので、予告なく追加・変更することがございます。

他情報

書籍 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版

IPA ウェブ健康診断仕様

burp suite community版(無料版)

テスティング環境構築 virtualbox + owasp BWA(ovaファイル)

owasp BWA(ovaファイル) 2.4G

参加者様の管理外のサーバーで試すことはお止めください

注意. 当会でお伝えする手法や、ツールは、実世界のサーバーの破壊をする力がございます。 トレーニングは、ローカル環境、自己の管理サーバー以外には、決して行わないようにしてください。 当会では、会員様の行為によっておこったあらゆる障害に一切責任・関知を致しません。

Media View all Media

If you add event media, up to 3 items will be shown here.

Feed

WEBセキュリティー修行中

WEBセキュリティー修行中 published ペネトレーションテストの為のステップアップ講座 C4.OSコマンドインジェクション オンライン.

11/06/2022 22:02

ペネトレーションテストの為のステップアップ講座 C4.OSコマンドインジェクション オンライン を公開しました!

Ended

2022/11/13(Sun)

17:00
17:40

You cannot RSVP if you are already participating in another event at the same date.

Registration Period
2022/11/06(Sun) 22:00 〜
2022/11/13(Sun) 16:00

Location

オンライン

オンライン

オンライン

Attendees(12)

np_kawakami

np_kawakami

ペネトレーションテストの為のステップアップ講座 C4.OSコマンドインジェクション オンライン に参加を申し込みました!

resussapnnoc

resussapnnoc

ペネトレーションテストの為のステップアップ講座 C4.OSコマンドインジェクション オンライン に参加を申し込みました!

tworks_security

tworks_security

ペネトレーションテストの為のステップアップ講座 C4.OSコマンドインジェクション オンライン に参加を申し込みました!

Masa369

Masa369

ペネトレーションテストの為のステップアップ講座 C4.OSコマンドインジェクション オンラインに参加を申し込みました!

Toyama_ken

Toyama_ken

ペネトレーションテストの為のステップアップ講座 C4.OSコマンドインジェクション オンライン に参加を申し込みました!

n.ikemiya

n.ikemiya

ペネトレーションテストの為のステップアップ講座 C4.OSコマンドインジェクション オンライン に参加を申し込みました!

yukiyama99999999913

yukiyama99999999913

ペネトレーションテストの為のステップアップ講座 C4.OSコマンドインジェクション オンライン に参加を申し込みました!

しゅっぱーつしんこー

しゅっぱーつしんこー

おもしろいセミナーと聞いたので参加を楽しみにしてます。ペネトレーションテストの為のステップアップ講座 C4.OSコマンドインジェクション オンライン に参加を申し込みました!

utuka8086

utuka8086

ペネトレーションテストの為のステップアップ講座 C4.OSコマンドインジェクション オンライン に参加を申し込みました!

ちゅんちゅんマン

ちゅんちゅんマン

ペネトレーションテストの為のステップアップ講座 C4.OSコマンドインジェクション オンライン に参加を申し込みました!

Attendees (12)