イベントサイト

https://security-testing.doorkeeper.jp/events/55559 （先着 65名）
https://security-testing.connpass.com/event/47467/ （抽選 5名）

テーマ

今回のテーマはOWASP Top 10 の歩き方です。

「OWASP Top 10」にて列挙されている脆弱性について、原理や診断方法、対策などをご説明いたします。

ハンズオンセミナーなので、実際にOWASP ZAPやBurp Suiteなどを駆使して脆弱性を検出していただきます。

なお、本セミナー開催に前後して、新しい「OWASP Top 10」が公開されそうな予感がしますが、大幅に項目は変わらないと思うので、このテーマで進めます。

• A1 - インジェクション
• A2 - 認証とセッション管理の不備
• A3 - クロスサイトスクリプティング (XSS)
• A4 - 安全でないオブジェクト直接参照
• A5 - セキュリティ設定のミス
• A6 - 機密データの露出
• A7 - 機能レベルアクセス制御の欠落
• A8 - クロスサイトリクエストフォージェリ(CSRF)
• A9 - 既知の脆弱性を持つコンポーネントの使用
• A10 - 未検証のリダイレクトとフォーワード

また、1回の開催では「OWASP Top 10」を歩き切ることはできないので、本テーマのセミナーは、2回または3回に分けて開催する予定です。今回は、最低でもA1からA3までを取り上げたいと思います。

対象

• 脆弱性診断に興味がある
• プロキシ大好き

主催

脆弱性診断研究会（Security Testing Workshop）
https://www.facebook.com/groups/zeijakusei.shindan.kenkyukai/

セミナー講師はHASHコンサルティング株式会社に所属しています。
https://www.hash-c.co.jp/

会場

コワーキングスペース茅場町 Co-Edo

参加費

会場利用代として1,000円

当日ご用意いただくもの

ノートPC

下記のツールを実行可能ならばOSの種別は問いません。

OWASP Zed Attack Proxy Project

• 最新のバージョンである2.5系をダウンロード＆インストールしてください。

FoxyProxy Standard

• FirefoxおよびChrome用のプロキシ設定切り替えツールです。

ご注意と事前のお願い

• 電源、Wi-Fiはあります。
• 参加するにあたって、会場利用代として1,000円かかります。

懇親会

セミナー終了後に近所の居酒屋で懇親会を予定しております。
ご参加の皆様、どうぞお気軽に(^^)

Facebookグループ 「脆弱性診断研究会」

https://www.facebook.com/groups/zeijakusei.shindan.kenkyukai/
公開グループです。スパム防止のため承認制ですが、どなたでもお気軽にご参加ください！