自社でウェブアプリケーションの
脆弱性診断に取り組むために
組織のウェブサイトが改竄の影響を受けると、閲覧者のウイルス感染、決済情報をはじめとする機密情報の漏洩等の深刻な被害を招き、時には企業活動の停止や遅滞など経営に深刻な被害を及ぼします。このコースでは、ウェブシステム/ウェブアプリケーションの脆弱性診断の技術を身に着け、ウェブシステムに対して発生しうる脅威・攻撃手法について理解することができるようになります。
| 受講対象者 |
|
|---|---|
| 前提知識 |
|
研修のゴール
1
ウェブアプリケーションの脆弱性診断に必要な知識が身につく。
2
ウェブシステムに対して発生しうる脅威・攻撃手法についての理解。
3
ウェブサイトインシデント発生時の具体的な対処手順や手法を習得できる。
実施アジェンダ
1日目
- 狙われるウェブアプリケーション ウェブアプリケーションを狙った攻撃例
- 脆弱性診断と実施フロー ・環境準備 ・手動による検査 ・ツールを活用した検査
- HTTP 基礎と Web アプリの脆弱性
- Burp Suite の基本的な使い方
- ウェブアプリケーション診断
- 確認演習
2日目
- 自動診断 ・Burp Suite Active Scan ・Repeter、Intruder
- ログ調査 ・ログの重要性、保管・調査 ・分析 ・確認演習:ログ調査
- 暗号通信プロトコル、認証/認可
- セッション管理/ Cookie 等
- 確認演習 by OWASP BWA
- 参考情報:ウェブアプリケーションの推奨対策 等