はじめに

今回は2015年上半期最後のハンズオンセミナーです。7月からはカリキュラムを大幅に見直します。そのため、今回のセミナーの再試合は予定しておりません。

再試合をしないため、定数を拡大するためにCo-Edo様のいつもの4Fではなく5Fにて開催いたします。
定数は20人から35人となります！

概要

脆弱性診断ハンズオンセミナーを開催いたします＼(^o^)／
Webアプリケーションやネットワーク機器に対する脆弱性診断の方法を解説いたします。
今回のテーマは「脆弱性検出合戦！　ネットワーク編」です。

下記のツール（コマンド）を実行可能なPCをご用意ください。
* [OWASP ZAP] [Burp Suite] [Fiddler2]（ローカルプロキシ）
* [nmap] http://nmap.org/
* [telnet] or [netcat(nc)], [openssl]

OSがWindowsの場合はネットワーク検証用ツールとして「Cygwin」の導入をお勧めします。
http://cygwin.com/

スケジュール

2015年上半期は下記のスケジュールにてセミナーを開催いたしました。

• 1シーズンを3回のセミナーで構成
• 「for ルーキーズ」は各シーズンの2回めの月に開催

メインセミナー（予定）

開催時期	シーズン	内容（予定）
2015年1月	1-1	プロキシの準備、プロキシで自動診断
2015年2月	1-2	複数プロキシの連携、プロキシで手動診断
2015年3月	1-3	脆弱性検出合戦（個人戦）
2015年4月	2-1	ネットワーク診断（Nmapによるポートスキャン）
2015年5月	2-2	ネットワーク手動診断
2015年6月	2-3	脆弱性検出合戦（個人戦）
2015年7月以降	-	新カリキュラム（内容未定）

ルーキーズ（予定）

開催時期	内容
2015年2月	プロキシの準備、OWASP ZAPによる自動診断、レポートの見方
2015年5月	同上
2015年8月	同上

今シーズンのセミナーについて

Webアプリケーションやネットワーク機器の脆弱性（クロスサイトスクリプティングやSQLインジェクション、OpenSSLの「POODLE」など）をOWASP ZAPやFiddler、Burp SuiteなどのプロキシツールやNmapやOpenSSLといったコマンドラインツールを使用して検出する方法を学びます。

対象

• Webアプリケーションを開発・運用している、
  • セキュリティやその診断手法に興味がある技術者
  • 自社の品管に「セキュリティ診断ヨロシク！　脆弱性ゼロじゃないとリリース許可しないYo！」と言われた技術者
  • 取引先に「セキュリティ診断ヨロシク！（金は出さない）」と言われて途方に暮れているプロジェクト管理者
• 同業他社様も大歓迎です :P

主催

株式会社トレードワークス　セキュリティ事業部
http://www.tworks.co.jp/

参加費

会場利用代として1,000円

当日ご用意いただくもの

Wi-Fi接続が可能で下記のツール（コマンド）を実行できるPC
* [OWASP ZAP] [Burp Suite] [Fiddler2]（ローカルプロキシ）
* [nmap] http://nmap.org/
* [telnet] or [netcat(nc)], [openssl]

OSがWindowsの場合はネットワーク検証用ツールとして「Cygwin」の導入をお勧めします。
http://cygwin.com/

ご不明な点は「松本 隆則 t.matsumoto@tworks.co.jp」 にお気軽にお問い合わせください。

注意

• 参加するにあたって、会場利用代として1,000円かかります。
• インターネットへは会場のWi-Fi経由で接続可能です。

当日のチェックインについて

• 登録時に届いたメールに記載されているQRコードをご確認ください。セミナー会場の前方のお立ち台あたりに佇んでいる松本にQRコードをご提示ください。
• スマホや携帯端末などの都合でQRコードをご提示いただけない場合はお声掛けください。

懇親会

セミナー終了後に1〜2時間ほどの懇親会を会場近くの居酒屋で実施する予定です。ご希望の方はお気軽にお声掛けください(^^)

Facebookページ 「脆弱性診断研究会」

https://www.facebook.com/sec.testing.study.session