はじめに

当イベントページをご覧くださり、ありがとうございます。当イベントは三井物産セキュアディレクション株式会社主催の情報セキュリティに関する勉強会です。セキュリティに興味のある方々に脆弱性診断についての学びの場を提供できればとの思いから、1, 2ヶ月に1回のペースで開催しています。

勉強会終了後には同会場で懇親会(参加自由、無料)を行います。軽食をご用意しておりますので、気軽な情報交換や社外交流の場としてお楽しみいただけると幸いです。
今回は諸事情により、通常は勉強会終了後に開催している懇親会を行いません。 お楽しみにしてくださっていたみなさまには申し訳ございませんが、ご了承のほど、よろしくお願いいたします。

概要

HTTPプロキシツール「Burp Suite」を使い、Webアプリケーションに潜む脆弱性の再現を体験していただきます。

今回はWebアプリケーションの「設計上の不備」に起因する以下の脆弱性を取り上げます。設計上の不備とは、アプリケーションの要件定義や設計などの開発プロセスの上流工程においてセキュリティ面が考慮されていないことが原因で作り込まれてしまう問題です。

取り上げる脆弱性

1. パラメータを改ざんする
2. JavaScriptによる入力値の検証を回避する
3. 権限のない機能を不正に利用する

勉強会では、弊社で用意した仮想SNSサイトに無線LAN経由で接続し、Burp Suiteを使ってサイト内に存在する脆弱性の再現方法を演習を通して学んでいきます。

初心者の方でも理解していただけるよう、演習に入る前に脆弱性の解説を行いますので、初めての方もお気軽にご参加ください。また当日は講師の他にも講習スタッフがおりますので、不明点はお気軽にご質問いただけます。

みなさまのご参加を心よりお待ちしております。

Burp Suiteについて

Burp SuiteはHTTP通信の確認や操作、脆弱性のスキャンなどの機能を備えたプロキシツールとして、Webアプリケーションの脆弱性診断の現場で広く利用されているソフトウェアです。セットアップは非常に簡単に済みますので、当日までにご自身のPCにご用意ください(無償版：Community Editionで構いません)。

Burp Suite ダウンロードページ

過去開催回

今回取り上げる脆弱性の種類(内容)は、以下の開催回と同様です。過去開催回にご参加いただいた方は、既に学習済みの内容となりますことをご了承ください。

日付	開催回	URL
2015-10-14	第1回	https://mbsd-ws.doorkeeper.jp/events/31620
2016-01-20	第2回	https://mbsd-ws.doorkeeper.jp/events/36342
2016-03-23	第3回	https://mbsd-ws.doorkeeper.jp/events/40379
2016-06-22	第4回	https://mbsd-ws.doorkeeper.jp/events/46734
2016-11-30	第7回	https://mbsd-ws.doorkeeper.jp/events/54262
2017-05-31	第10回	https://mbsd-ws.doorkeeper.jp/events/60648
2017-09-27	第13回	https://mbsd-ws.doorkeeper.jp/events/65014

対象

以下のような方を対象とした初歩的な内容を予定しています。

• セキュリティ業界への就職を目指されている方
• Webアプリケーションの脆弱性診断がどのように実施されているのか興味のある方

脆弱性について全くご存じない方にもお分かりいただけるよう、基本的な内容から始めます。しかし、Webアプリケーションの脆弱性とはどういうものかをご存じであれば、勉強会の内容をより深くご理解いただけるかと思います。

スケジュール

18:30 開場 　 19:00 開始

時間	内容
19:00～19:30	脆弱性 & 脆弱性診断 & Webアプリケーション
19:30～19:40	HTTP & Proxy
19:40～19:50	Burpの設定 ＆ 使い方
19:50～20:10	脆弱性の再現(ベーシック)
20:10～20:20	休憩
20:20～21:00	脆弱性の再現(アドバンス)
21:00～22:00	懇親会(参加自由、無料)

※タイムテーブルは目安です。当日の進行状況によって若干前後する可能性がございます。
※貸し会議室での実施のため、18:30より前にお越しいただいても、会場の準備が整っていない場合がございます。極力、18:30以降にお越しくださいますよう、ご協力よろしくお願いいたします。
※今回の勉強会には、懇親会がございません。

場所

STANDARD会議室 赤坂サイド店
東京都港区赤坂1-3-13 溜池鈴木ビル3F

• 東京メトロ 溜池山王駅 9番出口 徒歩1分 (銀座線、南北線)
• 東京メトロ 虎ノ門駅 10番出口 徒歩6分 (銀座線)
• 東京メトロ 六本木一丁目駅 3番出口 徒歩7分 (南北線)

お願いとお断り

• ご自身のPC(Windows / Mac どちらでも可)をお持ちください(講師はWindowsを用いて解説いたしますので、可能であればWindowsをお薦めいたします)。PCの貸出はいたしかねます。
• Burp Suiteを起動できる状態にしておいてください(plain JAR file版のBurp Suite の起動にはJavaが必要です)。
• お好みのブラウザをインストールしておいてください(特にこだわりがなければFirefoxをご用意ください)。
• 会場では電源をご用意しております。ご自由にお使いください(数に限りがあるため、1人1つを保証できない可能性がございます)。
• 会場にはインターネットに接続できるWi-Fiのご用意はありません。
• 会場内は禁煙です。
• 当日は広報用に会場の写真撮影を行います。参加者個人が特定されるようなものは写り込まないように致しますのであらかじめご了承ください。
• 過去の開催回では、当日に無断で欠席される方が散見され数個の空席がございました。事前にご参加が難しくなられた場合は、参加のキャンセルをしていただき、キャンセル待ちの方に席をお譲りいただけますと幸いでございます。もしキャンセルをなさらずに当日無断で欠席される方がいらっしゃる場合は、誠に勝手ながら以降のMBSD主催の勉強会へのご参加をお断りする場合がございます。あらかじめご了承ください。

諸注意

• 禁止事項
  以下に該当する行為をされたと見なされる場合、ご退場いただく場合がございます。あらかじめご確認ください。

  • 宗教団体、人材会社などによる勧誘行為、宣伝行為、ヘッドハンティング、又はこれに類似する行為。
  • 営利を目的とした営業行為、宣伝行為、又はこれに類似する行為。
  • 過度な大声、騒音、振動、暴力など、他の参加者の迷惑になる行為。
  • 法令に違反する、又はそのおそれのある行為。
  • その他、弊社が不適切と判断する行為や目的での参加。

• 注意事項
  会場の設備、備品を汚損、破損、又は紛失された場合、その損害を賠償していただきます。

• 免責事項
  貴重品の管理は各自でお願いいたします。万一盗難や紛失などの事故が発生しましても、弊社では責任を負いかねます。

主催

三井物産セキュアディレクション株式会社(MBSD)
テクニカルサービス事業本部 プロフェッショナルサービス事業部
https://www.mbsd.jp/