Doorkeeper

第46回 脆弱性診断ええんやで(^^) OWASP Top 10 の歩き方 二歩目

2017-02-28(火)19:00 - 21:00 JST

コワーキングスペース茅場町 Co-Edo

東京都中央区新川1-3-4 PAビル5F

申し込む

申し込み受付は終了しました

今後イベント情報を受け取る

LT枠 1,000円 会場払い
一般チケット 1,000円 会場払い
会場利用代として1000円かかります(セミナーは無料)

詳細

イベントサイト

https://security-testing.doorkeeper.jp/events/57345 (LT枠1名+一般枠 64名)
https://security-testing.connpass.com/event/50567/ (抽選 5名)

テーマ

今回のテーマはOWASP Top 10 の歩き方です。

「OWASP Top 10」にて列挙されている脆弱性について、原理や診断方法、対策などをご説明いたします。

  • A1 - インジェクション
  • A2 - 認証とセッション管理の不備
  • A3 - クロスサイトスクリプティング (XSS)
  • A4 - 安全でないオブジェクト直接参照
  • A5 - セキュリティ設定のミス
  • A6 - 機密データの露出
  • A7 - 機能レベルアクセス制御の欠落
  • A8 - クロスサイトリクエストフォージェリ(CSRF)
  • A9 - 既知の脆弱性を持つコンポーネントの使用
  • A10 - 未検証のリダイレクトとフォーワード

今回は「二歩目」ということで、OWASP Top 10の「A2 - 認証とセッション管理の不備」を取り上げます。

ハンズオンセミナーなので、実際にOWASP ZAPやBurp Suiteなどを駆使して脆弱性を検出していただきます。

なお、本セミナー開催に前後して、新しい「OWASP Top 10」が公開されそうな予感がしますが、大幅に項目は変わらないと思うので、このテーマで進めます。

LT枠

初の試みとしてLT枠を設けました。「セキュリティ」に絡むネタであればテーマはなんでもOKです!

時間は5~15分くらいを想定しています。

「オレに(ワタシに)ヒトコト言わせろ!」って方は是非ご応募ください。

対象

  • OWASP ZAPやBurp Suiteなどでウェブアプリケーションの通信の閲覧ができる
  • 脆弱性診断に興味がある
  • プロキシ大好き

主催

脆弱性診断研究会(Security Testing Workshop)
https://www.facebook.com/groups/zeijakusei.shindan.kenkyukai/

セミナー講師はHASHコンサルティング株式会社に所属しています。
https://www.hash-c.co.jp/

会場

コワーキングスペース茅場町 Co-Edo

参加費

会場利用代として1,000円

当日ご用意いただくもの

ノートPC

下記のツールを実行可能ならばOSの種別は問いません。

OWASP Zed Attack Proxy Project

  • 最新のバージョンである2.5系をダウンロード&インストールしてください。

Burp Suite Free Edition

  • Free版をダウンロード&インストールしてください。

FoxyProxy Standard

  • FirefoxおよびChrome用のプロキシ設定切り替えツールです。

ご注意と事前のお願い

  • 電源、Wi-Fiはあります。
  • 参加するにあたって、会場利用代として1,000円かかります。

懇親会

セミナー終了後に近所の居酒屋で懇親会を予定しております。
ご参加の皆様、どうぞお気軽に(^^)

Facebookグループ 「脆弱性診断研究会」

https://www.facebook.com/groups/zeijakusei.shindan.kenkyukai/
公開グループです。スパム防止のため承認制ですが、どなたでもお気軽にご参加ください!

コミュニティについて

脆弱性診断研究会

脆弱性診断研究会

コミュニティについて 脆弱性診断研究会(Security Testing Workshop)は、Webアプリケーションやネットワーク機器などに対する脆弱性診断の手法や診断ツールの使用法を研究するコミュニティです。 本コミュニティーは、松本隆則(GMOサイバーセキュリティ byイエラエ株式会社(旧社名:株式会社イエラエセキュリティ))ほか2名が管理・運営しております。 Facebookグ...

メンバーになる