Nov

20
はじめてのWEBセキュリティトレーニング全部入りパック
トレーニング開始に必要なものを全部集めました!

Registration info	環境構築のみ Free/Pay at the door Attendees 0 Burp Suite 使い方 + (環境構築) (前回参加者は無料) ￥1900（Pay at the door） Attendees 0 DVWA 駆け足解説 + (環境構築) ￥1900（Pay at the door） Attendees 1 Burp + DVWA + (環境構築) ￥3500（Pay at the door） Attendees 1
参加者への情報	(参加者と発表者のみに公開されます)

Description

体験講座作りました

はじめての方を対象に、まずトレーニングの雰囲気を味わって頂こうということで、体験講座やります。
最初は、burpの使い方がよく分からなかったり、練習サイトの環境を作るのにvirtualboxというソフトが必要だったり、初心者の方がめげそうな部分をフォローさせて頂きます。
お仕事で覚える必要があったり、セキュリティ職を目指している方もおられると思いますが、知的な趣味としてもお勧めですよ。

お支払いにつきまして

事前にpaypayのID/電話番号をメッセージをお送りしますので、そちらに送金をお願い致します。
参加受付欄に、会場払いとありますが、まぎわらしくて申し訳ありません。
接続ができない、その他の事情でセミナーが受けれない場合は、次回セミナー分とさせて頂くか、返金させて頂きます。
領収書が必要な場合は、PDFで領収書をお送りします。（宛名をメッセージでお送りください）

事前にインストールいただきたい一覧


burp suite community版(無料版)	community edition(無料)を選択ください
virtualboxインストール
DVWA(iso)イメージをダウンロード	DVWA-1.0.7.iso というファイルです
DVWAをvirtualboxにインポート	お分かりの方はインポートまでお願いできましたら

virtualboxやDVWAのインポートは、win11 HOME版で確認しております。

macで動かない。win11 proで動かない。という噂も聞いております。

環境構築の部分は、無料でアドバイスさせて頂きますが、参加者様のOSやバージョン、環境によっては、きちんと動作しない可能性があることをご了承ください。

その場合は、別に win10/11 homeのOSが入ったPCを用意して頂くのが早いかと思います。メモリは最低8Gあれば動作するようです。

当日、インストールや環境構築が間に合わなければ、見て頂くだけでも結構です。burp/dvwaの手順動画はセミナー後、お送りしますので、後でじっくり試して頂けると思います。

すでに、BWAやdockerで、DVWAが動く環境がある方はそちらを使って頂いてもいいと思います。(メニューが多少違うかもしれませんが）

インストールで不明点ありましたら、nishi@wind-labo.com までメール頂けると分かる範囲でご回答させて頂きます。

当日の内容 / タイムテーブル


13:00 - 13:50	環境構築アドバイス (dvwaをvirtualboxにインポート)
14:00 - 14:50	Burp Suite使い方 (scope / history / intercept / repeater / intruder)
15:00 - 15:50	DVWA 駆け足体験

DVWAのメニュー
brute force / xss reflected / xss stored / csrf / sql injection / comand execution / file inclusion / file upload
当日は時間の関係でできるところまでやります。全ての手順動画は、セミナー後、お送りいたします。

対象者

WEBセキュリティ・脆弱性診断を覚えたい方
全体的に初心者レベルです。バリバリされている方には簡単過ぎるかもしれません。
ネットワーク / フォレンジック / アプリ・IOT / 情報セキュリティはやりません。
ペネトレーションも、WEBアプリケーション中心です。エクスプロイト、サーバー内探索、権限昇格などは予定してません。ファイルアップロードし、実行くらいまでを予定しております。
WEBアプリケーションの基礎をマスターすることで、脆弱性診断、セキュアコーディングの知識がつき、セキュリティエンジニアとしてもレベルアップが可能かと思います。

今後のロードマップ

体験会に出て頂いた後は、DVWAや、この後ご紹介するBwappというサイトの練習をしていきます。
DVWAは、メニュー数が10弱ですが、Bwappは、当会で選定した約60メニューをこなしていきますので、かなりやりごたえがあります。トレーニングに充てられる時間によりますが、3,4ヶ月からひょっとすると1年かかるかもしれません。
はじめて3ヶ月～半年くらいは、Bwappで基本的な解き方をとにかく覚えてましょう。ある程度引き出しがたまれば、独自の解き方ができたりすると思います。
そしてBwappを2周3週とするうちに、理解もだんだん深まり、次のレベルも見えてくるのではないでしょうか
解き方の解説費用は、1問500円程度で調整中で、手順動画のご提供も予定しております。
Bwappライフを満喫頂いてスムースにスキルアップできるよう、解き方のご提供をベースに、月額での分からないところお答えプランなど、様々なサポートをさせて頂く予定です。

カリキュラムの順番を大幅に入れ替えさせて頂いてます。

以前に表示していたカリキュラムは、C- IPAウェブ健康診断項目が10項目あったのですが、参加者様のお声などから、最低限のHTTPの知識のあと、Burpの使い方を覚え、次はテスティングサイトを数多く触っていく方が脆弱性の理解に繋がるとの考えから、脆弱性項目の簡単な説明のあと、テスティングサイトを触る順番に変更させて頂いております。
以前と大幅に内容が変わったような印象を受けられるかもしれませんが、習得する項目内容は変わっておりません。
混乱させてしまい申し訳ございません。

テスティングサイトの向き合い方

DVWAやbWappは、メニューさえ解けばそれで終わりかと思われるかもしれませんが、使い方は奥深いものがあります。
最初は、解き方の事例をまねて、脆弱性を出してみる（最初の解き方の例はご提供いたします）
何度かやってみる。最初は何をやってるかよく分からないかもしれませんが、やる度に新たに疑問や発見が出てくると思います。リクエストを見てみたり、ソースを見てみたり、思った通りに動かなかったり。少しずつHTTPやWEBアプリケーション、脆弱性への理解が深まっている時間だと思います。
疑問がでれば、そのとき、もう一度、書籍・ネットなどで調べてみてください（ご自分で疑問に思って調べた知識は、深い理解に繋がると思います。）。セミナーでも質問対応の機会が増やせればと思っております。
次は何をするんだっけ。なぜこうなるんだろう？あれっ前と動作が違うような。これができるということは、これもできるのかな？といっぱい考えて、調べて、試していってください。
攻撃手法の理解も進めば、新しい解き方やペイロードも試してみたくなると思います。ここまでくると楽しくなっているのではないでしょうか。メニュー以外の脆弱性も見つけたり、解き方のアイデアが思い浮かぶようになれば、そろそろ次のステップかもしれません。