Doorkeeper

第5回 MBSD セキュリティ勉強会

2016-07-27(水)19:00 - 21:00 JST

MBSD 赤坂オフィス別室 会議室

東京都港区赤坂2丁目12-33 赤坂永楽ビル 5F

申し込む

申し込み受付は終了しました

今後イベント情報を受け取る

参加費無料
ご自身のPC(Win / Mac どちらでも可)をお持ちください。

詳細

はじめに

 当イベントページをご覧くださり、ありがとうございます。当イベントは 三井物産セキュアディレクション(以下、MBSD) 主催の情報セキュリティに関する勉強会です。Webサイトに存在する脆弱性の探し方や再現方法を学びながら、Webアプリケーションのセキュリティや脆弱性診断への興味を深めていただければ、と思い 1,2ヶ月に1回のペースで開催しています。

 勉強会終了後には同会場で懇親会(参加自由、無料)を行います。軽食をご用意しておりますので、気軽な情報交換や社外交流の場としてお楽しみいただけると幸いです。

概要

 「Burp Suite」と呼ばれるHTTPプロキシツールを使い、Webアプリケーションに潜む脆弱性の診断を体験していただきます。

 勉強会は2部構成です。前半は、脆弱性とは何か、「脆弱性診断」とはどういったことを行う仕事なのか、といった診断業務に関する話と、Webアプリケーションの脆弱性診断に必要なHTTPプロキシツール「Burp Suite」の使い方をご説明いたします(ここまでは過去4回の勉強会と同一の内容です)。

 後半は“実装上の不備”に起因する脆弱性をご紹介いたします。過去4回の勉強会では、仮想SNSサイトの“設計上の不備”に起因する脆弱性を取り上げました。設計上の不備とは、アプリケーションの要件定義や設計などの開発プロセスの上流工程においてセキュリティ面が考慮されていないことが原因で作り込まれてしまう問題です。

 一方、今回取り上げる実装上の不備とは、入力値の検証漏れやエスケープ漏れなどのコーディング段階のミスが原因で作り込まれてしまう問題です。自動的に脆弱性を調査するツール(「脆弱性スキャナ」などと呼ばれています)で発見できるケースが多いですが、込み入ったものになると専門的な知識を持った人間が手動で診断しなければなりません。今回は弊社のWebアプリケーション診断サービスでよく検出される「クロスサイト・スクリプティング」と「SQLインジェクション」の診断を体験していただく予定です。

 後半は、過去4回とは異なり新たな内容となりますので、これまでの勉強会にご参加くださった方も、ぜひご参加ください。初心者の方でも理解していただけるよう、演習に入る前に脆弱性の解説を行いますので、初めての方もお気軽にご参加ください。

 みなさまのご参加を心よりお待ちしております。

 取り上げる脆弱性

  1. パラメータの改ざん
  2. SQLインジェクション
  3. クロスサイト・スクリプティング

 
 Burp Suiteについて

 Burp Suite はHTTP通信の確認・改ざんや、脆弱性のスキャン機能等を備えたプロキシツールとして、Webサイトの脆弱性診断の現場で広く利用されているソフトウェアです。セットアップは非常に簡単に済みますので、当日までにご自身のPCにご用意ください(無償版で構いません)。

 Burp Suite ダウンロードページ

対象

以下のような方を対象とした初歩的な内容を予定しています。

  • セキュリティ業界への就職を目指されている方
  • Webサイトの脆弱性診断がどのように実施されているのか興味のある方

※脆弱性について全くご存じない方にもお分かりいただけるよう、基本的な内容から始めます。しかし、Webアプリケーションの脆弱性とはどういうものかをご存じであれば、勉強会の内容をより深くご理解いただけるかと思います。

スケジュール

18:30 開場   19:00 開始

時間 内容
18:30 ~ 開場
19:00 ~ 19:10 脆弱性と診断業務について
19:10 ~ 19:20 Burp Suite の使い方
19:20 ~ 20:00 脆弱性1 の演習・解説
20:00 ~ 20:10 休憩
20:10 ~ 21:00 脆弱性2, 3 の演習・解説
21:00 ~ 22:00 懇親会(参加自由、無料)

場所

MBSD 赤坂オフィス別室 会議室
※赤坂溜池タワー9階 ではなく 赤坂永楽ビル5階 で開催いたします。
 弊社ホームページの所在地とは異なりますので、お間違いないようご注意ください。

  • 東京メトロ 溜池山王駅 11番出口 徒歩4分(銀座線、南北線)
  • 東京メトロ 赤坂駅 2番出口 徒歩4分(千代田線)
  • 東京メトロ 赤坂見附駅 ベルビー側出口 徒歩9分(丸の内線、銀座線)
  • 東京メトロ 国会議事堂前駅 3番出口 徒歩10分(丸ノ内線、千代田線)

ご留意事項

  • ご自身のPC(Windows / Mac どちらでも可)をお持ちください(講師は Windows を用いて解説いたしますので、可能であれば Windows をお薦めいたします)。PCの貸出はいたしかねます。
  • Burp Suite を起動できる状態にしておいてください(Burp Suite の起動には Java が必要です)。
  • お好みのブラウザをインストールしておいてください(特にこだわりがなければ Firefox をご用意ください)。
  • 会場にはインターネットに接続できる Wi-Fi を用意しています。
  • 会場内は禁煙です。申し訳ございませんが、喫煙所のご用意もございません。予めご了承ください。

主催

三井物産セキュアディレクション株式会社 プロフェッショナルサービス事業部
https://www.mbsd.jp/

コミュニティについて

MBSDセキュリティ勉強会

MBSDセキュリティ勉強会

情報セキュリティに関する勉強会などを開催いたします。

メンバーになる