インストラクター:境稔 & 亀田勇歩
インストラクター・プロフィール:
境稔
公認情報システムセキュリティプロフェッショナル(CISSP)。
主にWebアプリケーション脆弱性診断、セキュリティトレーニング
講師などに従事する。
『OWASP Zed Attack Proxy 運用マニュアル』監修
亀田勇歩
各国で行われているCTF(Capture the Flag)競技に参加し、
広範な知識と経験を活かして総合的な問題解決能力を磨いている。
『OWASP Zed Attack Proxy 運用マニュアル』執筆協力
概要:OWASPのオープンソース・ツールを利用した、自動化されたセキュリティ・ペンテスティング(脆弱性診断)の手法を学習します。ウェブアプリケーション開発者、ペンテスター、テスト検収を行う方などを想定しています。日本人のホワイトハッカーとして著名なインストラクターによる、OWASP ZAPフリーツールを用いて脆弱性診断の手法を身につけるトレーニングです。
■効果
受講者はWebアプリケーションに潜む脆弱性について学び、体験することで、Webセキュリティの基本的な知識を得ることができます。ツールによる自動診断のみにとどまらず、手動による診断手法と、最終的なレポートの出力まで、一貫した工程を学ぶことにより、翌日からすぐにご自分で脆弱性診断ができるようになります。
■対象者
ソフトウェア脆弱性診断手法を覚えることにより、ウェブアプリケーションの品質向上に活かしたい方、また、診断技術の幅を広げたい方など、プロフェッショナル志向の方のためのトレーニングです。
使用ツール:
OWASP Zed Attack Proxy
OWASP Broken Web Applications
一日のプログラムは以下のように進行します。
1.トレーニングの目的
−脆弱性診断の目的と必要性
−リスクマネジメント
脆弱性診断の必要性とその目的について、リスクマネジメントという考え方から学びます。
2.Webアプリケーションと脆弱性
−Webアプリケーション脆弱性の特徴
−OWASP TOP 10 2014
脆弱性学習用サイト(OWASP WebGoat)を使用し、InjectionやXSS等、主要な脆弱性をOWASP TOP 10に基づいて実際に体験。脆弱性の基本知識を学びます。
3.ZAPを用いた自動診断
−Quick Start
−自動ログイン/ログアウトの設定
−診断範囲の指定
自動診断ツールとしてのZAPの使い方を学び、体験します。Webサイトの自動クロールから診断の実施までを体験します。
4.実際に診断
−Manual Crawl, Active Scab single URL
脆弱なサイト(OWASP Broken Web Applications)に対し、実際に脆弱性診断作業を体験します。
診断結果の確認、自動診断との比較評価、レポートの出力までを確認します。
5.もっとマニアックに診断
- Script Console
- Zest
- Plug-n-Hack
ZAP独自のAdd-onsを利用しさらに精密な診断作業を体験します。
6.報告書
−報告書作成
4,5で体験した脆弱性診断結果を、報告書テンプレートに従い実際の結果報告書にまとめます。
費用: 40000円(10:00-18:00、ハンズオントレーニング)
トレーニングへの参加は、カンファレンス参加とは別途ご登録が必要です:https://appsecapac.org/2014/how-to-register/
参加者特典
OWASP ZAP開発者、Simon Brenettからのプレゼントです。受講者全員に、OWASP ZAPオフィシャルステッカーを差し上げます。
CISSP / SSCP / JGISP (ISSJP) 認定保持者の方へ
OWASP AppSec APAC 2014 は、(ISC)2 が認定するCPEイベントです。CISSP / SSCP / JGISP (ISSJP) 認定保持者には、Training Daysの1日トレーニングに対して7ポイント、2Dayトレーニングに対して14ポイント、カンファレンスは1セッションの聴講に対して1ポイントのCPEクレジットが付与されます。(ISC)2会員の皆様には、19,20日のカンファレンスの参加費が割引となるクーポンコードがありますので、(ISC)2事務局までお問い合わせください。
