お知らせ connpassではさらなる価値のあるデータを提供するため、2024年5月23日(木)を以ちましてイベントサーチAPIの無料での提供の廃止を決定いたしました。
2024年5月23日(木)以降より開始予定の「connpass 有料API」の料金プランにつきましてはこちらをご覧ください。

お知らせ connpassをご利用いただく全ユーザーにおいて健全で円滑なイベントの開催や参加いただけるよう、イベント参加者向け・イベント管理者向けのガイドラインページを公開しました。内容をご理解の上、イベント内での違反行為に対応する参考としていただきますようお願いいたします。

このエントリーをはてなブックマークに追加

2月

5

 WEBセキュリティ 初級 (XSS)

冬はこたつでトレーニング!!

WEBセキュリティ 初級 (XSS)
募集内容

bWapp演習 クロスサイトスクリプティング

1500円(会場払い)

参加者数
2
申込者
Yama
あず
申込者一覧を見る
開催日時
2023/02/05(日) 13:00 ~ 14:30
Googleカレンダー icsファイル
募集期間

2023/01/19(木) 15:00 〜
2023/02/05(日) 13:00まで

会場

オンライン

オンライン

参加者への情報
(参加者と発表者のみに公開されます)

イベントの説明

お支払いにつきまして

  • 事前にpaypayのID/電話番号をメッセージをお送りしますので、そちらに送金をお願い致します。
  • 参加受付欄に、会場払いとありますが、まぎわらしくて申し訳ありません。
  • 接続ができない、その他の事情でセミナーが受けれない場合は、次回セミナー分とさせて頂くか、返金させて頂きます。
  • 領収書が必要な場合は、PDFで領収書をお送りします。(宛名をメッセージでお送りください)

事前にインストールいただきたい一覧
burp suite community版(無料版) community edition(無料)を選択ください
virtualboxインストール
bee-boxイメージをダウンロード bee-box_v1.6.7z というファイルです。ダウンロード後は、7-zipなどのツールで解凍できると思います
virtualboxにインポート 手順を掲載いたします。お待ちください

virtualboxやbee-boxのインポートは、win11 HOME版で確認しております。

macで動かない。win11 proで動かない。という噂も聞いております。

環境構築の部分は、無料でアドバイスさせて頂きますが、参加者様のOSやバージョン、環境によっては、きちんと動作しない可能性があることをご了承ください。

その場合は、別に win10/11 homeのOSが入ったPCを用意して頂くのが早いかと思います。メモリは最低8Gあれば動作するようです。

当日、インストールや環境構築が間に合わなければ、見て頂くだけでも結構です。

インストールで不明点ありましたら、nishi@wind-labo.com までメール頂けると分かる範囲でご回答させて頂きます。

当日の内容 / タイムテーブル
13:00 - 14:30 クロスサイト(XSS)の説明・当日は、bwappのXSSメニューをランダムに進めます

対象者

  • WEB/HTTPの基礎(html/js/php/sql)が大まかに分かる、次はトレーニングに移りたい。
  • burpを触ったことがある。次は、具体的な脆弱性項目に触れていきたい。

学習の流れ

  • WEB/HTTPの基礎 (html/js/php/sql)
  • burpの使い方(インストール / 内臓ブラウザ / history / intercept / repeater)など
  • テスティングサイトで、解き方を見ながら脆弱性を出す(bwapp / dvwa)
  • さらにリアルでレベルの高いテスティングサイトでトレーニング
  • 得たスキルを脆弱性診断に生かしたり、バグバウンティに挑戦したり。

*HTTP基礎や、burp使い方は、希望者が集まり次第、開催させていただきます。しばらくお待ちください。

FAQ

Q. virtualboxって何ですか?

A. windowsやmacで、linuxなど他のOSを動かせるソフトです

Q. DVWAって?

A. セキュリティのトレーニング用サイトで、わざと穴が開けられてます。

 isoイメージファイルで配布されているので、virtualboxにインポートして動かします

 お使いのPC内でトレーニングサイトが動きますので、安全にトレーニングができます

Q. bWapp(ビーワップ)って?

A. こちらもDVWAと同じく、セキュリティのトレーニング用サイトです。。

 メニュー数が多く、トレーニング用として質の高いメニューが用意されています。分からないメニューは飛ばしてどんどん進めましょう

Q. 脆弱性診断とペネトレーションテストの違いって

脆弱性診断は、網羅的に侵入の起点となる穴を探して報告し、開発陣で防いでもらうことで、セキュリティのレベルを上げる考えです。

ペネトレーションテスト(ペンテスト)は、サーバー内やネットワーク内の盗むデータの目標を決め、起点となる穴を見つけ、さらにターゲットまでの経路を考え、侵入、しいてはデータが盗めるかまでをテストします。

当セミナーでは、IPA WEB健康診断仕様やガイドラインという診断の手順書をご紹介しており、そちらを体験頂くことで診断の雰囲気が分かると思います。実際の診断会社様の診断手順は非公開なので推測になりますが、IPAやOWASP JAPANという信頼のある機関が発行しているものですので、参考になると思います。

WEBアプリケーションのペネトレーションの方は、穴を見つけるだけではダメで、そこからさらに数カ所の関門を突破する必要があると思いますので、侵入用のノウハウ・トレーニングが必要です。

診断会社によっては、ペネトレーションに近いこともされている会社さんもおられると思うので、一概に言い切れないのですが

他情報

書籍 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版

IPA ウェブ健康診断仕様

IPA 安全なウェブサイトの作り方

burp suite community版(無料版)

virtualboxインストール

*多くの方が環境構築の方法をまとめてくださってます。非常に助かります!

テスティング環境構築 virtualbox + DVWA(isoファイル)

テスティング環境構築 virtualbox + owasp BWA(ovaファイル)

owasp BWA(ovaファイル) 2.4G

bee-boxイメージ bee-box_v1.6.7z

portswigger academy

参加者様の管理外のサーバーで試すことはお止めください

注意. 当会でお伝えする手法や、ツールは、実世界のサーバーの破壊をする力がございます。 トレーニングは、ローカル環境、自己の管理サーバー以外には、決して行わないようにしてください。 当会では、会員様の行為によっておこったあらゆる障害に一切責任・関知を致しません。

資料 資料をもっと見る/編集する

資料が投稿されると、最新の3件が表示されます。

フィード

WEBセキュリティー修行中

WEBセキュリティー修行中 さんが WEBセキュリティ 初級 (XSS) を公開しました。

2023/01/19 15:44

WEBセキュリティトレ 初級 (XSS) を公開しました!

グループ

WEBセキュリティーをかじる会

脆弱性診断やりたい人 OWASP10が気になる人 バグバウンティ目指す人 お待ちしてます!

イベント数 36回

メンバー数 158人

終了

2023/02/05(日)

13:00 14:30
Googleカレンダー icsファイル

開催日時が重複しているイベントに申し込んでいる場合、このイベントには申し込むことができません

募集期間
2023/01/19(木) 15:00 〜
2023/02/05(日) 13:00

イベントへのお問い合わせ

会場

オンライン

オンライン

オンライン

管理者

参加者(2人)

Yama

Yama

WEBセキュリティ 初級 (XSS)に参加を申し込みました!

あず

あず

WEBセキュリティ 初級 (XSS) に参加を申し込みました!

参加者一覧(2人)