お知らせ connpassではさらなる価値のあるデータを提供するため、2024年5月23日(木)を以ちましてイベントサーチAPIの無料での提供の廃止を決定いたしました。
2024年5月23日(木)以降より開始予定の「connpass 有料API」の料金プランにつきましてはこちらをご覧ください。
なお有料の対象となるのはAPIのみであり、connpassのサービスにつきましては今後も無料でご利用いただけます。

3月

19
ペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他
しばらく空けてすみません。また再開させて頂きます。

ペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他

募集内容	参加枠1 無料参加者数 14人
申込者	申込者一覧を見る
開催日時	2023/03/19(日) 13:00 ～ 14:00 Googleカレンダー icsファイル
募集期間	2023/03/12(日) 14:00 〜 2023/03/19(日) 12:00まで
会場	オンラインオンライン
参加者への情報	(参加者と発表者のみに公開されます)

イベントの説明

対象者

WEBセキュリティ・脆弱性診断を覚えたい方
普段PCを触っていて、WEBやHTTPの中身を知らない方
全体的に初心者レベルです。バリバリされている方には簡単過ぎるかもしれません。
ネットワーク / フォレンジック / アプリ・IOT / 情報セキュリティはやりません。
ペネトレーションも、WEBアプリケーション中心です。エクスプロイト、サーバー内探索、権限昇格などは予定してません。ファイルアップロードし、実行くらいまでを予定しております。
WEBアプリケーションの基礎をマスターすることで、脆弱性診断、セキュアコーディングの知識がつき、セキュリティエンジニアとしてもレベルアップが可能かと思います。

セミナースタイル

セミナー時間は、60分を予定してます。多少前後するかもしれません。
google meetを利用し、開始1時間ほど前に、参加者様に会議室URLをお送りしますので、接続テストなどお願いします。
顔出しは任意ですが、出していただけると司会者さびしくなくて助かります。
ご質問は、マイクやチャットで随時ご質問ください。司会者のタイミングになってしまいますが、ご回答させて頂きます。

当日の内容

☆C. 診断項目基礎 (IPA ウェブ健康診断仕様)

対象: HTTP/WEBの仕組み / Burpの使い方をマスターされている方
C5.ディレクトリトラバーサル

次回は、ディレクトリトラバーサルになります。

見学だけの方もいらっしゃって下さい!

今後のスケジュール

オンラインは、毎週日曜の昼開催予定ですが、ご要望あれば、平日も考えております。

☆A. HTTP/WEBの仕組みを覚えよう

対象: 普段PCを触っていて、WEBやHTTPの中身を知らない方
A1.HTTPレスポンス・リクエスト/ステータスコード
A2.URLの仕組み GET / POST パラメータ
A3.HTTPクッキー・リダイレクト
A4.html エスケープ処理
A5.Javascript / SQL

HTTPの基本を理解した後は、診断ツールBurpの使い方をマスターし、

IPA健康診断の診断項目をベースに具体的な攻撃手法を学んでいきます。

最後には、当会で製作したテストサイトを使い、今まで学んだテクニックで、実際に侵入を試みて頂きます。

☆B. Burp Suiteに慣れよう

対象: HTTP/WEBの仕組みを理解されている方
B1.インストール Burpの基本ローカルプロキシ内臓ブラウザ target設定
B2.レスポンス・リクエストをBurpで確認　history機能
B3.クッキー/リダイレクトをBurpで見てみよう
B4.インターセプトしてパラメータを書き換えよう
B5.リピータ・イントルーダー

☆C. 診断項目基礎 (IPA ウェブ健康診断仕様)

対象: HTTP/WEBの仕組み / Burpの使い方をマスターされている方
C1.XSS
C2.SQLインジェクション
C3.CSRF
C4.OSコマンドインジェクション
C5.ファイルアップロード
C6.ディレクトリトラバーサル←　次回(3/19)はこれ !
C7.オープンリダイレクト
C8.認証
C9.認可
C10.セッション
C11.ヘッダインジェクション
C12.サーバー設定（ディレクトリリスティング、httponly/secure) robots.txt

☆D. テスティングサイト bwapp / academy 演習

対象: HTTP/WEBの仕組み / Burpの使い方 / 診断項目基礎をマスターされている方
＊メニューを選定中です。お待ちください。

上記カリキュラムの内容は、常にブラッシュアップして参りますので、予告なく追加・変更することがございます。

他情報

書籍 Webセキュリティ担当者のための脆弱性診断スタートガイド第2版

IPA ウェブ健康診断仕様

burp suite community版(無料版)

テスティング環境構築 virtualbox + owasp BWA(ovaファイル)

owasp BWA(ovaファイル) 2.4G

WebSecurityAcademy

webセキュリティアカデミー解法

参加者様の管理外のサーバーで試すことはお止めください

注意. 当会でお伝えする手法や、ツールは、実世界のサーバーの破壊をする力がございます。トレーニングは、ローカル環境、自己の管理サーバー以外には、決して行わないようにしてください。当会では、会員様の行為によっておこったあらゆる障害に一切責任・関知を致しません。

資料資料をもっと見る／編集する

資料が投稿されると、最新の3件が表示されます。

フィード

WEBセキュリティー修行中さんがペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他を公開しました。

2023/03/12 14:34

ペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他を公開しました！

グループ

WEBセキュリティーをかじる会

脆弱性診断やりたい人　OWASP10が気になる人バグバウンティ目指す人　お待ちしてます！

イベント数 36回

メンバー数 158人

終了

2023/03/19(日)

13:00 〜 14:00

Googleカレンダー icsファイル

開催日時が重複しているイベントに申し込んでいる場合、このイベントには申し込むことができません

募集期間
2023/03/12(日) 14:00 〜
2023/03/19(日) 12:00

イベントへのお問い合わせ

会場

オンライン

オンライン

オンライン

管理者

WEBセキュリティー修行中

参加者（14人）

ペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他に参加を申し込みました！

ペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他に参加を申し込みました！

ペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他に参加を申し込みました！

ぴょみゅぴゅひょぴゅみゅく

ペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他に参加を申し込みました！

ペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他に参加を申し込みました！

I joined ペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他!

ペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他に参加を申し込みました！

ペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他に参加を申し込みました！

ペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他に参加を申し込みました！

ペネトレーションテストの為のステップアップ講座 C6.パストラバーサル他に参加を申し込みました！

参加者一覧（14人）

キャンセルした人（3人）