第12回 脆弱性診断、いかんのか? ええんやで(^ ^)
イベント内容
概要
脆弱性診断ハンズオンセミナーを開催いたします\(^o^)/
一応、個人ではなく会社として主催いたしますが、肩肘張ったものではなく、都度疑問・質問を解決しつつゆったりとしたペースで進めていきたいと考えています。
今回は「チーム対応脆弱性検出合戦」を開催します。
- 4人一組のチームを構成
- 当方が準備したやられサイトに仕込んだキーワードを探し出す
- 正解までに3〜5段階の「ハードル」を設定
スケジュール
下記のスケジュールにてセミナーを開催いたしております。
- 1シーズンを3回のセミナーで構成
- 年間4シーズン開催
- 「for ルーキーズ」は各シーズンの2回めの月に開催
メインセミナー(予定)
開催時期 | シーズン | 内容(予定) |
---|---|---|
2015年1月 | 1-1 | プロキシの準備、プロキシで自動診断 |
2015年2月 | 1-2 | 複数プロキシの連携、プロキシで手動診断 |
2015年3月 | 1-3 | チーム対抗脆弱性検出合戦 |
2015年4月 | 2-1 | ネットワーク診断(Nmapによるポートスキャン) |
2015年5月 | 2-2 | 各種診断ツール(Nessus、OpenVAS他) |
2015年6月 | 2-3 | ネットワーク手動診断 |
2015年7月 | 3-1 | (未定) |
2015年8月 | 3-2 | (未定) |
2015年9月 | 3-3 | (未定) |
2015年10月 | 4-1 | (未定) |
2015年11月 | 4-2 | (未定) |
2015年12月 | 4-3 | (未定) |
ルーキーズ(予定)
開催時期 | 内容 |
---|---|
2015年2月 | プロキシの準備、OWASP ZAPによる自動診断、レポートの見方 |
2015年5月 | 同上 |
2015年8月 | 同上 |
2015年11月 | 同上 |
今シーズンのセミナーについて
Webアプリケーションの脆弱性(クロスサイトスクリプティングやSQLインジェクションなど)をOWASP ZAPやFiddler、Burp Suiteなどを使用して検出する方法を学びます。
対象
- Webアプリケーションを開発・運用している、
- セキュリティやその診断手法に興味がある技術者
- 自社の品管に「セキュリティ診断ヨロシク! オールクリアじゃないとリリース許可しないYo!」と言われた技術者
- 取引先に「セキュリティ診断ヨロシク!(金は出さない)」と言われて途方に暮れているプロジェクト管理者
- 同業他社様も大歓迎です :P
主催
株式会社トレードワークス セキュリティ事業部
http://www.tworks.co.jp/
参加費
会場利用代として1,000円
当日ご用意いただくもの
後述するツールやブラウザのアドオンや拡張機能をダウンロードおよびインストール済みのノートPC
- プロキシ
- OWASP ZAP
- Fiddler
- Burp Suite
- ブラウザアドオン
- FoxyProxy Standard
プロキシ
OWASP ZAP
OWASP ZAPサイトには下記のOSそれぞれにバイナリが用意されています。
* Windows
* Linux / cross platform
* Mac OS/X
Fiddler (プロキシ)
Burp Suite (プロキシ)
ブラウザのアドオン/拡張機能
Foxyproxy Standard (ブラウザ用プロキシ設定ツール)
- インストール方法 FoxyProxy、ええんやで(^^) インストール&設定
- Firefox
- Chrome
ご不明な点は「松本 隆則 t.matsumoto@tworks.co.jp」 にお気軽にお問い合わせください。
注意
- 参加するにあたって、会場利用代として1,000円かかります。
- インターネットへは会場のWi-Fi経由で接続可能です。
当日のチェックインについて
- 登録時に届いたメールに記載されているQRコードをご確認ください。セミナー会場の前方のお立ち台あたりに佇んでいる松本にQRコードをご提示ください。
- スマホや携帯端末などの都合でQRコードをご提示いただけない場合はお声掛けください。
Facebookページ 「脆弱性診断研究会」
注意事項
※ 掲載タイミングや更新頻度によっては、情報提供元ページの内容と差異が発生しますので予めご了承ください。
※ 最新情報の確認や参加申込手続き、イベントに関するお問い合わせ等は情報提供元ページにてお願いします。