体験講座作りました

• はじめての方を対象に、まずトレーニングの雰囲気を味わって頂こうということで、体験講座やります。
• 最初は、burpの使い方がよく分からなかったり、練習サイトの環境を作るのにvirtualboxというソフトが必要だったり、初心者の方がめげそうな部分をフォローさせて頂きます。
• お仕事で覚える必要があったり、セキュリティ職を目指している方もおられると思いますが、知的な趣味としてもお勧めですよ。

お支払いにつきまして

• 事前にpaypayのID/電話番号をメッセージをお送りしますので、そちらに送金をお願い致します。
• 参加受付欄に、会場払いとありますが、まぎわらしくて申し訳ありません。
• 接続ができない、その他の事情でセミナーが受けれない場合は、次回セミナー分とさせて頂くか、返金させて頂きます。
• 領収書が必要な場合は、PDFで領収書をお送りします。（宛名をメッセージでお送りください）

事前にインストールいただきたい一覧

virtualboxやDVWAのインポートは、win11 HOME版で確認しております。

macで動かない。win11 proで動かない。という噂も聞いております。

環境構築の部分は、無料でアドバイスさせて頂きますが、参加者様のOSやバージョン、環境によっては、きちんと動作しない可能性があることをご了承ください。

その場合は、別に win10/11 homeのOSが入ったPCを用意して頂くのが早いかと思います。メモリは最低8Gあれば動作するようです。

当日、インストールや環境構築が間に合わなければ、見て頂くだけでも結構です。burp/dvwaの手順動画はセミナー後、お送りしますので、後でじっくり試して頂けると思います。

すでに、BWAやdockerで、DVWAが動く環境がある方はそちらを使って頂いてもいいと思います。(メニューが多少違うかもしれませんが）

インストールで不明点ありましたら、nishi@wind-labo.com までメール頂けると分かる範囲でご回答させて頂きます。

当日の内容 / タイムテーブル

• DVWAのメニュー
• brute force / xss reflected / xss stored / csrf / sql injection / comand execution / file inclusion / file upload
• 当日は時間の関係でできるところまでやります。全ての手順動画は、セミナー後、お送りいたします。

対象者

• WEBセキュリティ・脆弱性診断を覚えたい方
• 全体的に初心者レベルです。バリバリされている方には簡単過ぎるかもしれません。
• ネットワーク / フォレンジック / アプリ・IOT / 情報セキュリティはやりません。
• ペネトレーションも、WEBアプリケーション中心です。エクスプロイト、サーバー内探索、権限昇格などは予定してません。ファイルアップロードし、実行くらいまでを予定しております。
• WEBアプリケーションの基礎をマスターすることで、脆弱性診断、セキュアコーディングの知識がつき、セキュリティエンジニアとしてもレベルアップが可能かと思います。

今後のロードマップ

• 体験会に出て頂いた後は、DVWAや、この後ご紹介するBwappというサイトの練習をしていきます。
• DVWAは、メニュー数が10弱ですが、Bwappは、当会で選定した約60メニューをこなしていきますので、かなりやりごたえがあります。トレーニングに充てられる時間によりますが、3,4ヶ月からひょっとすると1年かかるかもしれません。
• はじめて3ヶ月～半年くらいは、Bwappで基本的な解き方をとにかく覚えてましょう。ある程度引き出しがたまれば、独自の解き方ができたりすると思います。
• そしてBwappを2周3週とするうちに、理解もだんだん深まり、次のレベルも見えてくるのではないでしょうか
• 解き方の解説費用は、1問500円程度で調整中で、手順動画のご提供も予定しております。
• Bwappライフを満喫頂いてスムースにスキルアップできるよう、解き方のご提供をベースに、月額での分からないところお答えプランなど、様々なサポートをさせて頂く予定です。

カリキュラムの順番を大幅に入れ替えさせて頂いてます。

• 以前に表示していたカリキュラムは、C- IPAウェブ健康診断項目が10項目あったのですが、 参加者様のお声などから、最低限のHTTPの知識のあと、Burpの使い方を覚え、次はテスティングサイトを数多く触っていく方が脆弱性の理解に繋がるとの考えから、脆弱性項目の簡単な説明のあと、テスティングサイトを触る順番に変更させて頂いております。
• 以前と大幅に内容が変わったような印象を受けられるかもしれませんが、習得する項目内容は変わっておりません。
• 混乱させてしまい申し訳ございません。

テスティングサイトの向き合い方

• DVWAやbWappは、メニューさえ解けばそれで終わりかと思われるかもしれませんが、使い方は奥深いものがあります。
• 最初は、解き方の事例をまねて、脆弱性を出してみる（最初の解き方の例はご提供いたします）
• 何度かやってみる。最初は何をやってるかよく分からないかもしれませんが、やる度に新たに疑問や発見が出てくると思います。リクエストを見てみたり、ソースを見てみたり、思った通りに動かなかったり。少しずつHTTPやWEBアプリケーション、脆弱性への理解が深まっている時間だと思います。
• 疑問がでれば、そのとき、もう一度、書籍・ネットなどで調べてみてください（ご自分で疑問に思って調べた知識は、深い理解に繋がると思います。）。セミナーでも質問対応の機会が増やせればと思っております。
• 次は何をするんだっけ。なぜこうなるんだろう？あれっ前と動作が違うような。これができるということは、これもできるのかな？といっぱい考えて、調べて、試していってください。
• 攻撃手法の理解も進めば、新しい解き方やペイロードも試してみたくなると思います。ここまでくると楽しくなっているのではないでしょうか。メニュー以外の脆弱性も見つけたり、解き方のアイデアが思い浮かぶようになれば、そろそろ次のステップかもしれません。

FAQ

Q. virtualboxって何ですか?

A. windowsやmacで、linuxなど他のOSを動かせるソフトです

Q. DVWAって?

A. セキュリティのトレーニング用サイトで、わざと穴が開けられてます。

　isoイメージファイルで配布されているので、virtualboxにインポートして動かします

　お使いのPC内でトレーニングサイトが動きますので、安全にトレーニングができます

Q. bWapp(ビーワップ)って?

A. こちらもDVWAと同じく、セキュリティのトレーニング用サイトです。。

　メニュー数が多く、トレーニング用として質の高いメニューが用意されています。最初の半年～1年くらいは、他のテスティングサイトに浮気せず、bWappをやりこむだけでもいいかもしれません。

他情報

書籍 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版

IPA ウェブ健康診断仕様

IPA 安全なウェブサイトの作り方

burp suite community版(無料版)

virtualboxインストール

＊多くの方が環境構築の方法をまとめてくださってます。非常に助かります！

テスティング環境構築 virtualbox + DVWA(isoファイル)

テスティング環境構築 virtualbox + owasp BWA(ovaファイル)

owasp BWA(ovaファイル) 2.4G

portswigger academy

webセキュリティアカデミー解法

参加者様の管理外のサーバーで試すことはお止めください

注意. 当会でお伝えする手法や、ツールは、実世界のサーバーの破壊をする力がございます。 トレーニングは、ローカル環境、自己の管理サーバー以外には、決して行わないようにしてください。 当会では、会員様の行為によっておこったあらゆる障害に一切責任・関知を致しません。