当イベントページをご覧くださり、ありがとうございます。当イベントは三井物産セキュアディレクション(以下、MBSD)主催の情報セキュリティに関する勉強会です。セキュリティに興味のある方々に脆弱性診断についての学びの場を提供できればとの思いから、1, 2ヶ月に1回のペースで開催しています。
ローカルプロキシツール「Burp Suite」を使い、Webアプリケーションに潜む脆弱性の再現を体験していただきます。
今回はオンラインでの開催となります。遠方でなかなか参加できなかった方もこの機会にぜひご参加ください。
なお、「懇親会」はオンライン開催の特性上実施できません。何卒ご容赦願います。お好きなドリンクを片手にご参加ください。
「準備していただきたいこと」「注意事項」をよくお読みの上、奮ってご参加ください。
今回はWebアプリケーションの「設計上の不備」に起因する以下の脆弱性を取り上げます。設計上の不備とは、アプリケーションの要件定義や設計などの開発プロセスの上流工程においてセキュリティ面が考慮されていないことが原因で作り込まれてしまう問題です。
勉強会では、弊社で用意した仮想SNSサイトに接続し、Burp Suiteを使ってサイト内に存在する脆弱性の再現方法を演習を通して学んでいきます。
※今回取り上げる脆弱性の種類(内容)は、第41回(2023.5.24)、第37回(2022.5.25)、第34回(2021.6.24)、などと同様です。過去開催回にご参加いただいた方は、既に学習済みの内容となりますことをご了承ください。
※Burp SuiteはHTTP通信の確認や操作、脆弱性のスキャンなどの機能を備えたプロキシツールとして、Webアプリケーションの脆弱性診断の現場で広く利用されているソフトウェアです。
以下のような方を対象とした初歩的な内容を予定しています。
初心者の方でも理解していただけるよう、演習に入る前に脆弱性の解説を行いますので、初めての方もお気軽にご参加ください。また当日は講師の他にも講習スタッフがおりますので、不明点はお気軽にご質問いただけます。
みなさまのご参加を心よりお待ちしております。
勉強会参加に際しまして以下をご用意ください。
ウェブブラウザ
勉強会ではBurpSuite内蔵ブラウザを用いて解説いたしますが、BurpSuite内蔵ブラウザに不具合が発生した場合の、予防措置としてFirefoxもご用意ください。
BurpSuite
当日までに無償版のダウンロード・インストールを済ませ、起動できることを確認してください。
❗❗勉強会開催時の最新版のBurpSuiteをインストールして下さい。過去にご参加いただいた方は、最新版にアップデートしてください。❗❗
Microsoft Teams
今回の勉強会ではMicrosoft Teamsを使用します。カメラは原則オフ、マイクも講演中はオフにしていただきます。
Microsoft Teamsは無料でご利用いただけます。アプリも用意されていますが、入室の際のお名前(表示名)を指定できない可能性があるため、ブラウザ上での入室を推奨しております。ブラウザ版をご利用の際は、演習で使用するブラウザとは別のブラウザをシークレットモード等で起動した上でアクセスください。
アプリリンク
なお、ご質問を受け付ける際にはTeamsのチャット機能をご利用いただきます。
イベント開始数日前にTeams会議URLを参加者の皆様にお送りいたします。
参加確定した皆様にはイベント開始前にTeams会議URLを参加者の皆様にお送りいたします。
18:45 開場 19:00 開始
時間 | 内容 |
---|---|
19:00 – 19:20 | 脆弱性と脆弱性診断 |
19:20 – 19:30 | WebアプリケーションとHTTP、Proxy |
19:30 – 20:10 | Burpの設定&使い方 |
20:10 – 20:30 | 脆弱性の再現(ベーシック) |
20:30 – 20:40 | 休憩 |
20:40 – 21:40 | 脆弱性の再現(アドバンス) |
21:40 – 22:00 | クロージング |
※タイムテーブルは目安です。オンライン開催のため、演習時間を通常より長めに設定しております。当日の進行状況によって若干前後する可能性がございます。
三井物産セキュアディレクション株式会社
テクニカルサービス事業本部 プロフェッショナルサービス事業部
https://www.mbsd.jp/