Webシステムの脆弱性診断実践コース

コース名：Webシステムの脆弱性診断実践コース

受講期間：3か月（91日）

標準学習時間：5時間

（内、ビデオ聴講時間2.7時間、ビデオのデモに基づく受講者による脆弱性診断の実習、理解度確認テスト回答、参考資料学習時間を含む）

コース修了条件：各種クイズの正解率　70%以上

（修了証書のCPE時間は、上記標準時間となります）

1.コース概要

様々なサービスがInternetを介して提供されるようになり、WebやInternetといったICT技術は現代社会において重要な役割を果たしています。しかし,こうしたリモートでいつでも誰でもアクセスできる環境は、サイバー攻撃のターゲットになりやすく、毎年多くの攻撃事例や脆弱性が報告されています。

本コースでは、Webシステムの脆弱性診断について、Webシステムの基本動作から４つの代表的な攻撃手法(CSRF、メールヘッダインジェクション、ディレクトリトラバーサル、オープンリダイレクト)と対策方法まで、攻撃デモを交えながら詳細に解説いたします。

2.コースの目的

・Webシステムにおける脆弱性診断の観点で、代表的な４つの攻撃についてその仕組みと対策方法が理解できるようになること

3.受講対象者

・Webシステムにおけるセキュリティの知見を深めたい方

4.受講の前提知識

・Webに関する基礎知識

・Windows環境でのコマンドプロンプト操作の基礎知識

5.講師

権田 陽彦

(国内一般企業において社内開発製品及び社外製品のセキュリティテストに従事)

6.注意事項

・Q&Aについて

本講座ではWebシステムにおける脆弱性診断に関しての知見を一般向けに解説したものになります。講師及び受講者の所属組織の業務や就業環境への関連性の高い質問には回答いたしかねますのでご了承ください。 

・本講義で学んだ技術の悪用禁止

使用者の許可なくデバイスやシステム等に脆弱性診断手法の使用を絶対に行わないでください。

7.カリキュラム

1    Webシステムとは

・Webシステムの構成

・Webシステムに対する脆弱性診断

2    脆弱性診断環境の構築

・やられサーバの意義

・Dockerを用いた環境構築方法

3    ターゲットの環境構築

・Burpについて

・Burpを用いたテスト環境の構築方法

4    攻撃① CSRF

・CSRFについて

・EasyBuggyにおける攻撃とその対策

5    攻撃② メールヘッダインジェクション

・メールヘッダインジェクションについて

・EasyBuggyにおける攻撃とその対策

6    攻撃③ ディレクトリトラバーサル

・ディレクトリトラバーサルについて

・EasyBuggyにおける攻撃とその対策

7    攻撃④ オープンリダイレクト

・オープンリダイレクトについて

・EasyBuggyにおける攻撃とその対策

8    まとめ

9    参考資料一覧