機能改善 イベント編集時の「重複参加の許可」をデフォルトで「許可しない」から「許可する」に変更しました。詳しくは こちら をご確認ください

お知らせ connpassアカウントのパスワードを設定することで、ソーシャル認証に依存しないログインも可能となります。詳しくは以下のヘルプをご確認ください。
- パスワードの設定
- ソーシャル認証ログインが出来なくなった場合の操作
イベント管理者様・グループ管理者様も上記ヘルプを 一括メッセージ機能 にて参加者・グループメンバーへ案内して、連絡がつかなくならないようご注意ください。

このエントリーをはてなブックマークに追加

Feb

5

 WEBセキュリティ 初級 (XSS)

冬はこたつでトレーニング!!
Registration info

bWapp演習 クロスサイトスクリプティング

1500(Pay at the door)

Attendees
2

参加者への情報
(参加者と発表者のみに公開されます)

Description

お支払いにつきまして

  • 事前にpaypayのID/電話番号をメッセージをお送りしますので、そちらに送金をお願い致します。
  • 参加受付欄に、会場払いとありますが、まぎわらしくて申し訳ありません。
  • 接続ができない、その他の事情でセミナーが受けれない場合は、次回セミナー分とさせて頂くか、返金させて頂きます。
  • 領収書が必要な場合は、PDFで領収書をお送りします。(宛名をメッセージでお送りください)

事前にインストールいただきたい一覧
burp suite community版(無料版) community edition(無料)を選択ください
virtualboxインストール
bee-boxイメージをダウンロード bee-box_v1.6.7z というファイルです。ダウンロード後は、7-zipなどのツールで解凍できると思います
virtualboxにインポート 手順を掲載いたします。お待ちください

virtualboxやbee-boxのインポートは、win11 HOME版で確認しております。

macで動かない。win11 proで動かない。という噂も聞いております。

環境構築の部分は、無料でアドバイスさせて頂きますが、参加者様のOSやバージョン、環境によっては、きちんと動作しない可能性があることをご了承ください。

その場合は、別に win10/11 homeのOSが入ったPCを用意して頂くのが早いかと思います。メモリは最低8Gあれば動作するようです。

当日、インストールや環境構築が間に合わなければ、見て頂くだけでも結構です。

インストールで不明点ありましたら、nishi@wind-labo.com までメール頂けると分かる範囲でご回答させて頂きます。

当日の内容 / タイムテーブル
13:00 - 14:30 クロスサイト(XSS)の説明・当日は、bwappのXSSメニューをランダムに進めます

対象者

  • WEB/HTTPの基礎(html/js/php/sql)が大まかに分かる、次はトレーニングに移りたい。
  • burpを触ったことがある。次は、具体的な脆弱性項目に触れていきたい。

学習の流れ

  • WEB/HTTPの基礎 (html/js/php/sql)
  • burpの使い方(インストール / 内臓ブラウザ / history / intercept / repeater)など
  • テスティングサイトで、解き方を見ながら脆弱性を出す(bwapp / dvwa)
  • さらにリアルでレベルの高いテスティングサイトでトレーニング
  • 得たスキルを脆弱性診断に生かしたり、バグバウンティに挑戦したり。

*HTTP基礎や、burp使い方は、希望者が集まり次第、開催させていただきます。しばらくお待ちください。

FAQ

Q. virtualboxって何ですか?

A. windowsやmacで、linuxなど他のOSを動かせるソフトです

Q. DVWAって?

A. セキュリティのトレーニング用サイトで、わざと穴が開けられてます。

 isoイメージファイルで配布されているので、virtualboxにインポートして動かします

 お使いのPC内でトレーニングサイトが動きますので、安全にトレーニングができます

Q. bWapp(ビーワップ)って?

A. こちらもDVWAと同じく、セキュリティのトレーニング用サイトです。。

 メニュー数が多く、トレーニング用として質の高いメニューが用意されています。分からないメニューは飛ばしてどんどん進めましょう

Q. 脆弱性診断とペネトレーションテストの違いって

脆弱性診断は、網羅的に侵入の起点となる穴を探して報告し、開発陣で防いでもらうことで、セキュリティのレベルを上げる考えです。

ペネトレーションテスト(ペンテスト)は、サーバー内やネットワーク内の盗むデータの目標を決め、起点となる穴を見つけ、さらにターゲットまでの経路を考え、侵入、しいてはデータが盗めるかまでをテストします。

当セミナーでは、IPA WEB健康診断仕様やガイドラインという診断の手順書をご紹介しており、そちらを体験頂くことで診断の雰囲気が分かると思います。実際の診断会社様の診断手順は非公開なので推測になりますが、IPAやOWASP JAPANという信頼のある機関が発行しているものですので、参考になると思います。

WEBアプリケーションのペネトレーションの方は、穴を見つけるだけではダメで、そこからさらに数カ所の関門を突破する必要があると思いますので、侵入用のノウハウ・トレーニングが必要です。

診断会社によっては、ペネトレーションに近いこともされている会社さんもおられると思うので、一概に言い切れないのですが

他情報

書籍 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版

IPA ウェブ健康診断仕様

IPA 安全なウェブサイトの作り方

burp suite community版(無料版)

virtualboxインストール

*多くの方が環境構築の方法をまとめてくださってます。非常に助かります!

テスティング環境構築 virtualbox + DVWA(isoファイル)

テスティング環境構築 virtualbox + owasp BWA(ovaファイル)

owasp BWA(ovaファイル) 2.4G

bee-boxイメージ bee-box_v1.6.7z

portswigger academy

参加者様の管理外のサーバーで試すことはお止めください

注意. 当会でお伝えする手法や、ツールは、実世界のサーバーの破壊をする力がございます。 トレーニングは、ローカル環境、自己の管理サーバー以外には、決して行わないようにしてください。 当会では、会員様の行為によっておこったあらゆる障害に一切責任・関知を致しません。

Media View all Media

If you add event media, up to 3 items will be shown here.

Feed

WEBセキュリティー修行中

WEBセキュリティー修行中 published WEBセキュリティ 初級 (XSS).

01/19/2023 15:44

WEBセキュリティトレ 初級 (XSS) を公開しました!

Group

WEBセキュリティーをかじる会

脆弱性診断やりたい人 OWASP10が気になる人 バグバウンティ目指す人 お待ちしてます!

Number of events 36

Members 154

Ended

2023/02/05(Sun)

13:00 14:30
Google Calendar iCal

You cannot RSVP if you are already participating in another event at the same date.

Registration Period
2023/01/19(Thu) 15:00 〜
2023/02/05(Sun) 13:00

Event Organizer Contact

Location

オンライン

オンライン

オンライン

Organizer

Attendees(2)

Yama

Yama

WEBセキュリティ 初級 (XSS)に参加を申し込みました!

あず

あず

WEBセキュリティ 初級 (XSS) に参加を申し込みました!

Attendees (2)