はじめに

当イベントページをご覧くださり、ありがとうございます。当イベントは三井物産セキュアディレクション(以下、MBSD)主催の情報セキュリティに関する勉強会です。セキュリティに興味のある方々に脆弱性診断についての学びの場を提供できればとの思いから、1, 2ヶ月に1回のペースで開催しています。

概要

ローカルプロキシツール「Burp Suite」を使い、Webアプリケーションに潜む脆弱性の再現を体験していただきます。

今回はオフラインでの開催となります。勉強会終了後には同会場で懇親会(参加自由、無料)を行います。軽食をご用意しておりますので、気軽な情報交換や社外交流の場としてお楽しみいただけると幸いです。

「準備していただきたいこと」「注意事項」をよくお読みの上、奮ってご参加ください。

今回はWebアプリケーションの「実装上の不備」に起因する脆弱性である「クロスサイトスクリプティング(以下XSS)」を取り上げます。実装上の不備とは、入力値の検証漏れやエスケープ漏れなどのコーディング段階のミスが原因で作り込まれてしまう問題です。

勉強会では、弊社で用意した仮想SNSサイトに接続し、Burp Suite を使った演習を通して、サイト内に存在する脆弱性の再現方法を学んでいきます。

※今回取り上げる脆弱性の種類(内容)は、第52回(2025.8.29)、第42回(2023.7.6)、第38回(2022.6.29)、などと同様です。過去開催回にご参加いただいた方は、既に学習済みの内容となりますことをご了承ください。

※Burp SuiteはHTTP通信の確認や操作、脆弱性のスキャンなどの機能を備えたプロキシツールとして、Webアプリケーションの脆弱性診断の現場で広く利用されているソフトウェアです。

対象

以下のような方を対象とした初歩的な内容を予定しています。

• セキュリティ担当者で、技術的な部分を基礎から知りたい方
• Webアプリケーション診断を受けたいと考えているが、どのようなことを実施するのか知りたい方
• Webアプリケーション診断の費用感や全体像を知りたい方

初心者の方でも理解していただけるよう、演習に入る前に脆弱性の解説を行いますので、初めての方もお気軽にご参加ください。また当日は講師の他にも講習スタッフがおりますので、不明点はお気軽にご質問いただけます。
みなさまのご参加を心よりお待ちしております。

ご準備頂くもの

勉強会参加に際しまして以下をご用意ください。

• 以下の条件を満たしたPC

1. インターネットへ接続できること
2. プロキシの設定が変更可能なこと
3. OSはWindows または Macであること > (講師はWindowsを用いて解説いたしますので、それ以外のプラットフォームについてはサポートいたしかねます。)

• テザリングが可能なスマートフォンやモバイルWi-Fi 等
  会場では資料投影にTeamsを使用いたします。 会場にはインターネットに接続可能なWi-Fiがございますが、万が一に備え、ご自身でインターネット接続が可能なテザリング機能付きスマートフォンやモバイルWi-Fiルーターなどの接続手段を事前にご用意ください。

• ウェブブラウザ
  勉強会ではBurpSuite内蔵ブラウザを用いて解説いたしますが、BurpSuite内蔵ブラウザに不具合が発生した場合の、予防措置としてFirefoxもご用意ください。

• BurpSuite
  当日までに無償版のダウンロード・インストールを済ませ、起動できることを確認してください。起動した後、BurpのProxyタブにあるOpen browserボタンを押下すると内蔵ブラウザが立ち上がります。
  内蔵ブラウザにて、弊社HP（https://www.mbsd.jp/）にアクセスできることを確認してください。
  ❗❗勉強会開催時の最新版のBurpSuiteをインストールして下さい。過去にご参加いただいた方は、最新版にアップデートしてください。❗❗

• Microsoft Teams
  今回の勉強会では、画面の共有にMicrosoft Teamsを使用します。
  Microsoft Teamsは無料でご利用いただけます。アプリも用意されていますが、入室の際のお名前(表示名)を指定できない可能性があるため、ブラウザ上での入室を推奨しております。ブラウザ版をご利用の際は、演習で使用するブラウザとは別のブラウザをシークレットモード等で起動した上でアクセスください。
  アプリリンク

スケジュール

18:30 開場 　 19:00 開始

時間	内容
19:00 – 19:20	脆弱性と脆弱性診断
19:20 – 19:30	WebアプリケーションとHTTP、Proxy
19:30 – 19:50	Burpの設定＆使い方
19:50 – 20:10	脆弱性の再現(ベーシック)
20:10 – 20:20	休憩
20:20 – 21:00	脆弱性の再現(アドバンス)
21:00 – 22:00	懇親会 (参加自由、無料)

※タイムテーブルは目安です。当日の進行状況によって若干前後する可能性がございます。

※貸し会議室での実施のため、18:30より前にお越しいただいても、会場の準備が整っていない場合がございます。18:30以降にお越しくださいますよう、ご協力よろしくお願いいたします。
　質問や感想はX（旧：Twitter）ハッシュタグ #MBSD勉強会 でもお待ちしております。

場所

Natuluck茅場町 新館　４階　会議室
東京都中央区日本橋兜町12-7 兜町第3ビル 4F

東京メトロ東西線 茅場町駅 徒歩1分
東京メトロ日比谷線 茅場町駅 徒歩1分
都営浅草線 日本橋駅 徒歩3分
JR山手線 東京駅 徒歩10分

会場案内

会場は新館４階の会議室です。２号館や別階とお間違いのないようお気をつけてお越しください。

お願いとお断り

• プロキシの設定が変更可能なご自身のPC(Windows / Mac どちらでも可)をご準備ください(講師はWindowsを用いて解説いたしますので、可能であればWindowsをお薦めいたします)。PCの貸出はいたしかねます。
• Burp Suiteを起動できる状態にしておいてください(可能な限りインストーラ版をご利用ください)。
• BurpSuite内蔵ブラウザを使用される方は事前に起動及びインターネットにアクセス可能かご確認ください。
• WebブラウザはBurpSuite内蔵ブラウザを使用しますが、BurpSuite内蔵ブラウザに不具合が発生した場合の、予防措置としてFirefoxもご用意ください。
• 会場では電源をご用意しております。ご自由にお使いください(数に限りがあるため、お1人につきお1つを保証いたしかねます、申し訳ございません)。
• 会場にはインターネットに接続可能なWi-Fiがございますが、万が一に備え、ご自身でインターネット接続が可能なテザリング機能付きスマートフォンやモバイルWi-Fiルーターなどの接続手段を事前にご用意ください。
• 会場内は禁煙です。
• 当日は広報用に会場の写真撮影を行います。参加者個人が特定されるようなものは写り込まないようにいたしますのであらかじめご了承ください。
• 過去の開催回では、当日に無断で欠席される方が散見され、参加者が定員に満たないことがございました。事前にご参加が難しくなられた場合は、参加のキャンセルをしていただき、キャンセル待ちの方に席をお譲りいただけますと幸いでございます。 もしキャンセルをなさらずに当日無断で欠席される方がいらっしゃる場合は、誠に勝手ながら以降のMBSD主催の勉強会へのご参加をお断りする場合がございます。あらかじめご了承ください。

諸注意

• 禁止事項
  以下に該当する行為をされたと見なされる場合、ご退場いただく場合がございます。あらかじめご確認ください。

  • 宗教団体、人材会社などによる勧誘行為、宣伝行為、ヘッドハンティング、又はこれに類似する行為。
  • 営利を目的とした営業行為、宣伝行為、又はこれに類似する行為。
  • 他の参加者の迷惑になる行為。
  • 法令に違反する、又はそのおそれのある行為。
  • その他、弊社が不適切と判断する行為や目的での参加。

• 注意事項
  会場の設備、備品を汚損、破損、又は紛失された場合、その損害を賠償していただきます。

• 免責事項
  貴重品の管理は各自でお願いいたします。万一盗難や紛失などの事故が発生しましても、弊社では責任を負いかねます。

主催

三井物産セキュアディレクション株式会社
テクニカルサービス事業本部 プロフェッショナルサービス事業部
https://www.mbsd.jp/