Doorkeeper

第11回 MBSD セキュリティ勉強会

2017-06-28(水)19:00 - 21:00 JST

三井物産セキュアディレクション 赤坂オフィス 会議室F

東京都港区赤坂2丁目17番7号 赤坂溜池タワー9階

詳細

はじめに

当イベントページをご覧くださり、ありがとうございます。当イベントは 三井物産セキュアディレクション(以下、MBSD) 主催の情報セキュリティに関する勉強会です。セキュリティに興味のある方々に脆弱性診断についての学びの場を提供できればとの思いから、 1,2ヶ月に1回のペースで開催しています。
 
勉強会終了後には同会場で懇親会(参加自由、無料)を行います。軽食をご用意しておりますので、気軽な情報交換や社外交流の場としてお楽しみいただけると幸いです。
 

概要

HTTPプロキシツール「Burp Suite」を使い、Webアプリケーションに潜む脆弱性の再現を体験していただきます。

今回はWebアプリケーションの“実装上の不備”に起因する脆弱性である「クロスサイトスクリプティング」を取り上げます。実装上の不備とは、入力値の検証漏れやエスケープ漏れなどのコーディング段階のミスが原因で作り込まれてしまう問題です。自動的に脆弱性を調査するツールで発見できるケースもありますが、複雑なものになると専門的な知識を持った人間が手動で診断しなければ発見できません。

※今回取り上げる脆弱性の種類・内容は、第8回(今年1月実施)の種類・内容にDOM based XSSを追加したものとなります。
 第8回 にご参加いただいた方は、追加分以外、既に学習済の内容となりますことをご了承ください。
 
勉強会では、弊社で用意した仮想SNSサイトに無線LAN経由で接続し、 Burp Suite を使ってサイト内に存在する脆弱性の再現方法を演習を通して学んでいきます。

初心者の方でも理解していただけるよう、演習に入る前に脆弱性(クロスサイトスクリプティング)の解説を行いますので、初めての方もお気軽にご参加ください。また当日は講師の他にも講習スタッフがおりますので、不明点はお気軽にご質問いただけます。
 
みなさまのご参加を心よりお待ちしております。

 
 Burp Suiteについて

 Burp Suite はHTTP通信の確認・改ざんや、脆弱性のスキャン機能等を備えたプロキシツールとして、Webサイトの脆弱性診断の現場で広く利用されているソフトウェアです。セットアップは非常に簡単に済みますので、当日までにご自身のPCにご用意ください(無償版で構いません)。

 Burp Suite ダウンロードページ

 

対象

以下のような方を対象とした初級~中級程度の内容を予定しています。

  • セキュリティ業界への就職を目指されている方
  • Webサイトの脆弱性診断がどのように実施されているのか興味のある方

※今回の勉強会では、HTMLやjavascript等のWebの基盤技術に関しては説明いたしません。
 勉強会の内容をより深くご理解いただくにはHTMLやJavascriptについて基礎的な知識を有していることが望ましいかと存じます。

 

スケジュール

18:30 開場   19:00 開始

時間 内容
19:00 – 19:30 Burp Suite の使い方、HTTPのおさらい
19:30 – 20:10 脆弱性の再現(基本編)
20:10 – 20:20 休憩
20:20 – 21:00 脆弱性の再現(発展編)
21:00 – 22:00 懇親会(参加自由、無料)

 

場所

MBSD 赤坂オフィス 会議室F

  • 東京メトロ 溜池山王駅 11番出口 徒歩4分(銀座線、南北線)
  • 東京メトロ 赤坂駅 2番出口 徒歩4分(千代田線)
  • 東京メトロ 赤坂見附駅 ベルビー側出口 徒歩9分(丸の内線、銀座線)
  • 東京メトロ 国会議事堂前駅 3番出口 徒歩10分(丸ノ内線、千代田線)

 

留意事項

  • ご自身のPC(Windows / Mac どちらでも可)をお持ちください(講師は Windows を用いて解説いたしますので、可能であれば Windows をお薦めいたします)。PCの貸出はいたしかねます。
  • 会場では電源をご用意しております。ご自由にお使いください(数に限りがあるため、1人1つを保証できない可能性がございます)。
  • Burp Suite を起動できる状態にしておいてください(plain JAR file版のBurp Suite の起動には Java が必要です)。
  • お好みのブラウザをインストールしておいてください(特にこだわりがなければ Firefox をご用意ください)。
  • 会場にはインターネットに接続できる Wi-Fi のご用意はありません。
  • 会場内は禁煙です。最寄りの喫煙スペースは会場のあるビルの1階(屋外)にございます。
  • 当日は広報用に会場の写真撮影を行います。参加者個人が特定されるようなものは写り込まないように致しますので予めご了承ください。
  • 過去の開催回では、当日に無断で欠席される方が散見され数個の空席がございました。 事前にご参加が難しくなられた場合は、参加のキャンセルをしていただき、キャンセル待ちの方に席をお譲りいただけますと幸いでございます。 もしキャンセルをなさらずに当日無断で欠席される方がいらっしゃる場合は、誠に勝手ながら以降のMBSD主催の勉強会へのご参加をお断りする場合がございます。予めご了承ください。

 

注意事項

以下に該当すると見なされた行為をされた場合、ご退場いただく場合がございます。予めご確認ください。

  • 禁止事項
    • 宗教団体、人材会社等による勧誘行為、宣伝行為、ヘッドハンティングまたはこれに類似する行為を禁止。
    • 営利を目的とした営業行為、宣伝行為、またはこれに類似する行為を禁止。
    • 過度な大声、騒音、振動、暴力等、他の参加者の迷惑になる行為を禁止。
    • 法令に違反する、またはそのおそれのある行為を禁止。
    • その他、不適切と弊社が判断する行為、目的での参加を禁止。  
  • 注意事項
    • 会場の設備、備品を汚損、破損、または紛失された場合はその損害を賠償していただきます。  
  • 免責事項
    • 貴重品の管理は各自でお願いいたします。万一盗難・紛失等の事故が発生しても、弊社では一切責任を負いません。

 

主催

三井物産セキュアディレクション株式会社 プロフェッショナルサービス事業部
https://www.mbsd.jp/

コミュニティについて

MBSDセキュリティ勉強会

MBSDセキュリティ勉強会

情報セキュリティに関する勉強会などを開催いたします。

メンバーになる