お知らせ 【技術コミュニティ運営者の皆さま】成長し続けるエンジニアを支援する「Forkwell」と「connpass」が連携し、connpass上でイベントを開催する技術コミュニティを2020年3月末まで支援いたします。詳しくはこちら by Forkwell

このエントリーをはてなブックマークに追加

8月

29

第52回 脆弱性診断ええんやで(^^)

OWASP Top 10 の歩き方 四歩目 その2

Organizing : 脆弱性診断研究会

Registration info

connpass抽選枠

1000(Pay at the door)

Standard (Lottery Finished)
9/5

Description

テーマ

今回のテーマはOWASP Top 10 の歩き方です。

「OWASP Top 10」にて列挙されている脆弱性について、原理や診断方法、対策などをご説明いたします。

ハンズオンセミナーなので、実際にOWASP ZAPやBurp Suiteなどを駆使して脆弱性を検出していただきます。

なお、本セミナー開催に前後して、新しい「OWASP Top 10」が公開されそうな予感がしますが、大幅に項目は変わらないと思うので、このテーマで進めます。

  • A1 - インジェクション
  • A2 - 認証とセッション管理の不備
  • A3 - クロスサイトスクリプティング (XSS)
  • A4 - 安全でないオブジェクト直接参照
  • A5 - セキュリティ設定のミス
  • A6 - 機密データの露出
  • A7 - 機能レベルアクセス制御の欠落
  • A8 - クロスサイトリクエストフォージェリ(CSRF)
  • A9 - 既知の脆弱性を持つコンポーネントの使用
  • A10 - 未検証のリダイレクトとフォーワード

今回は「四歩目 その2」なのですが、A4ではなく、あれこれ飛ばして、OWASP Top 10の「A8 - クロスサイトリクエストフォージェリ(CSRF)」を取り上げます。

前回もCSRFについてお話しましたが、今回は、CSRFの基礎解説に加えて、ZAPによるPoCの作り方や「多段リクエスト型CSRF攻撃」についてご説明いたします。

ハンズオンセミナーなので、実際にOWASP ZAPを駆使して脆弱性を検出していただきます。

なお、本セミナー開催に前後して、新しい「OWASP Top 10」が公開されそうな予感がしますが、大幅に項目は変わらないと思うので、このテーマで進めます。

対象

  • OWASP ZAPでウェブアプリケーションの通信の閲覧ができる
  • 脆弱性診断に興味がある

主催

脆弱性診断研究会(Security Testing Workshop)

https://www.facebook.com/groups/zeijakusei.shindan.kenkyukai/

セミナー講師はEGセキュアソリューションズ株式会社に所属しています。

https://www.eg-secure.co.jp/

会場

コワーキングスペース茅場町 Co-Edo

参加費

会場利用代として1,000円

当日ご用意いただくもの

ノートPC

下記のツールを実行可能ならばOSの種別は問いません。

OWASP Zed Attack Proxy Project

  • 最新のバージョンである2.6系をダウンロード&インストールしてください。
  • 2.6.0のWindows版インストーラの動作が大幅に変更されたので、インストール時にお困りの方は、次のサイトをご覧になると幸せになれるかもしれません。

FoxyProxy Standard

  • FirefoxおよびChrome用のプロキシ設定切り替えツールです。

ご注意と事前のお願い

  • 参加するにあたって、会場利用代(ドロップイン料金)として1,000円かかります。
  • 電源は各自で確保可能です。コワーキングスペースCo-Edo様がご提供のWi-Fiがあります。ハンズオンセミナー時は指定のWi-Fiに接続していただきます。
  • セミナーで使用するツールは事前にインストールしてください。本セミナー内ではインストール方法については解説いたしません。ツールのインストールについてご不明な点がございましたら、お気軽にイベント宛のメッセージとしてお寄せください。

懇親会

セミナー終了後に近所の居酒屋で懇親会を予定しております。 ご参加の皆様、どうぞお気軽に(^^)

Facebookグループ 「脆弱性診断研究会」

https://www.facebook.com/groups/zeijakusei.shindan.kenkyukai/

公開グループです。スパム防止のため承認制ですが、どなたでもお気軽にご参加ください!

Media View all Media

If you add event media, up to 3 items will be shown here.

Feed

nilfigo

nilfigo published 第52回 脆弱性診断ええんやで(^^).

08/17/2017 10:25

第52回 脆弱性診断ええんやで(^^) を公開しました!

Ended

2017/08/29(Tue)

19:00
21:00

開催日時が重複しているイベントに申し込んでいる場合、このイベントには申し込むことができません

Registration Period
2017/08/17(Thu) 10:25 〜
2017/08/29(Tue) 21:00

Location

コワーキングスペース茅場町 Co-Edo

東京都中央区新川1-3-4 (PAビル5F)

Organizer

Attendees(5)

smymsnr

smymsnr

第52回 脆弱性診断ええんやで(^^)に参加を申し込みました!

bro_sec

bro_sec

第52回 脆弱性診断ええんやで(^^) に参加を申し込みました!

hogehoge989

hogehoge989

第52回 脆弱性診断ええんやで(^^) に参加を申し込みました!

ShoNakajii

ShoNakajii

第52回 脆弱性診断ええんやで(^^) に参加を申し込みました!

masa19660412

masa19660412

第52回 脆弱性診断ええんやで(^^)に参加を申し込みました!

Attendees (5)

Waitlist (4)

mikkatech

mikkatech

第52回 脆弱性診断ええんやで(^^) に参加を申し込みました!

MuuoLawrence

MuuoLawrence

第52回 脆弱性診断ええんやで(^^) に参加を申し込みました!

kobozu

kobozu

第52回 脆弱性診断ええんやで(^^) に参加を申し込みました!

HiroshiOsanai

HiroshiOsanai

第52回 脆弱性診断ええんやで(^^) に参加を申し込みました!

Waitlist (4)

Canceled (7)