Doorkeeper

【オンライン開催】第32回 MBSD セキュリティ勉強会

2020-10-28(水)19:00 - 22:00
オンライン リンクは参加者だけに表示されます。
キャンセル待ちに登録
参加費無料
キャンセル待ちは9人です。

詳細

はじめに

当イベントページをご覧くださり、ありがとうございます。当イベントは三井物産セキュアディレクション(以下、MBSD)主催の情報セキュリティに関する勉強会です。セキュリティに興味のある方々に脆弱性診断についての学びの場を提供できればとの思いから、1, 2ヶ月に1回のペースで開催しています。

概要

ローカルプロキシツール「Burp Suite」を使い、Webアプリケーションに潜む脆弱性の再現を体験していただきます。

前回に引き続き、オンラインでの開催になります。
遠方でなかなか参加できなかった方もこの機会にぜひご参加ください。
なお、「懇親会」はオンライン開催の特性上実施できません。何卒ご容赦願います。お好きなドリンクを片手にご参加ください。
「持ち物」「準備していただきたいこと」「注意事項」をよくお読みの上、奮ってご参加ください。

今回はWebアプリケーションの「実装上の不備」に起因する脆弱性である「クロスサイトスクリプティング」を取り上げます。実装上の不備とは、入力値の検証漏れやエスケープ漏れなどのコーディング段階のミスが原因で作り込まれてしまう問題です。自動的に脆弱性を調査するツールで発見できるケースもありますが、複雑なものになると専門的な知識を持った人間が手動で診断しなければ発見できません。

勉強会では、弊社で用意した仮想SNSサイトに接続し、Burp Suiteを使ってサイト内に存在する脆弱性の再現方法を演習を通して学んでいきます。

※今回取り上げる脆弱性の種類(内容)は、第29回(2019.11.27実施)第25回(2019.7.31実施)第23回(2018.11.28実施)などと同様です。過去開催回にご参加いただいた方は、既に学習済みの内容となりますことをご了承ください。
※Burp SuiteはHTTP通信の確認や操作、脆弱性のスキャンなどの機能を備えたプロキシツールとして、Webアプリケーションの脆弱性診断の現場で広く利用されているソフトウェアです。

対象

以下のような方を対象とした初歩的な内容を予定しています。

  • セキュリティ担当者で、技術的な部分を基礎から知りたい方
  • Webアプリケーション診断を受けたいと考えているが、どのようなことを実施するのか知りたい方
  • Webアプリケーション診断の費用感や全体像を知りたい方

初心者の方でも理解していただけるよう、演習に入る前に脆弱性の解説を行いますので、初めての方もお気軽にご参加ください。また当日は講師の他にも講習スタッフがおりますので、不明点はお気軽にご質問いただけます。
みなさまのご参加を心よりお待ちしております。

ご準備頂くもの

勉強会参加に際しまして以下をご用意ください。

  • ノートPC (インターネット接続できるもの)
    プロキシの設定が変更可能なご自身のPC(Windows / Mac どちらでも可)をご用意ください。勉強会では、Windowsを用いて解説いたします。

準備していただきたいこと

  • ウェブブラウザ
    勉強会ではFirefoxを用いて解説いたします。可能であれば、Firefoxをご用意ください。

  • BurpSuite
    当日までに無償版をダウンロード・インストールを済ませ、起動できることを確認してください。

  • Microsoft Teams
    今回の勉強会ではMicrosoft Teamsを使用します。カメラは原則オフ、マイクも講演中はオフにしていただきます。
    Microsoft Teamsは無料でご利用いただけます。アプリも用意されていますが、入室の際のお名前(表示名)を指定できない可能性があるため、ブラウザ上での入室をお願いいたします。演習で使用するブラウザとは別のブラウザシークレットモード等で起動した上でアクセスください。

なお、ご質問を受け付ける際にはTeamsのチャット機能をご利用いただきます。
イベント開始前にTeams会議URLを参加者の皆様にお送りいたします。

スケジュール

参加確定した皆様にはイベント開始前にTeams会議URLをお送りいたします。
18:30 開場   19:00 開始

時間 内容
19:00 – 19:20 脆弱性と脆弱性診断
19:20 – 19:30 WebアプリケーションとHTTP、Proxy
19:30 – 20:10 Burpの設定&使い方
20:10 – 20:30 脆弱性解説
20:30 – 20:40 休憩
20:40 – 21:40 診断実習
21:40 – 22:00 クロージング

※タイムテーブルは目安です。オンライン開催のため、演習時間を通常より長めに設定しております。当日の進行状況によって若干の前後や、適宜休憩をはさむ可能性がございます。

お願いとお断り

  • プロキシの設定が変更可能なご自身のPC(Windows / Mac どちらでも可)をご準備ください(講師はWindowsを用いて解説いたしますので、可能であればWindowsをお薦めいたします)。
  • Burp Suiteを起動できる状態にしておいてください(plain JAR file版のBurp Suite の起動にはJavaが必要です)。
  • WebブラウザはFirefoxのご利用を推奨しております。
  • 過去の開催回では、当日に無断で欠席される方が散見され数個の空席がございました。事前にご参加が難しくなられた場合は、参加のキャンセルをしていただき、キャンセル待ちの方に席をお譲りいただけますと幸いでございます。もしキャンセルをなさらずに当日無断で欠席される方がいらっしゃる場合は、誠に勝手ながら以降のMBSD主催の勉強会へのご参加をお断りする場合がございます。あらかじめご了承ください。

諸注意

  • 禁止事項
    以下に該当する行為をされたと見なされる場合、ご退場いただく場合がございます。あらかじめご確認ください。

    • 宗教団体、人材会社などによる勧誘行為、宣伝行為、ヘッドハンティング、又はこれに類似する行為。
    • 営利を目的とした営業行為、宣伝行為、又はこれに類似する行為。
    • 過度な大声、騒音、振動、暴力など、他の参加者の迷惑になる行為。
    • 法令に違反する、又はそのおそれのある行為。
    • その他、弊社が不適切と判断する行為や目的での参加。
  • 注意事項
    会場の設備、備品を汚損、破損、又は紛失された場合、その損害を賠償していただきます。

  • 免責事項
    貴重品の管理は各自でお願いいたします。万一盗難や紛失などの事故が発生しましても、弊社では責任を負いかねます。

主催

三井物産セキュアディレクション株式会社
テクニカルサービス事業本部 プロフェッショナルサービス事業部
https://www.mbsd.jp/

コミュニティについて

MBSDセキュリティ勉強会

MBSDセキュリティ勉強会

情報セキュリティに関する勉強会などを開催いたします。

メンバーになる