• ホーム
  • コース概要 | セキュリスト(SecuriST)認定Webアプリケーション脆弱性診断士 公式トレーニング
コースコード:SN488

セキュリスト(SecuriST)認定Webアプリケーション脆弱性診断士 公式トレーニング(2日間)

コース情報

受講料
220,000円 200,000円
開始日(申込締切前)
-
講習日数
2日間
他のコースと比較する

コース概要

セキュアなWebサイト構築のためのセキュリティテストとして、適切なWebアプリケーション脆弱性診断の実施が必要なことは知られてきました。しかし、脆弱性診断を自動化するツールはさまざまなものがありますが、自動診断ツールが発見した脆弱性を修正するだけでは不十分です。
これは多くの脆弱性診断会社の診断サービスが、いまだに経験を積んだ診断員の手作業を交えて診断を行っていることからもわかるかと思います。
認定Webアプリケーション脆弱性診断士(Web application Security Testing)は、Webアプリケーション脆弱性診断に取り組むために必要な攻撃技術の知識、診断技術や脆弱性判定の基準などを習得、認定することを目的にしています。

開催形式
集合研修
研修サービス
テキスト マシン実習

前提知識

以下を満たしている方。

  • 「インターネットセキュリティ技術」「インターネットセキュリティ技術(実習編)」コースを修了、または同等知識をお持ちの方。

    また、下記の実務経験があることが望ましい。

  • 開発言語を使ったWebアプリケーションプログラミング経験(VB/C++/PHP/Java)

到達目標

  • Webシステム・Webアプリケーション脆弱性を理解することで、対応策を立案できる。
  • 脆弱性を発見するための手段やツールの使い方を理解することで、対応策を立案できる。
  • 脆弱性かどうかの判定基準の検討を行うことができる。
  • 発見した脆弱性をどのように報告すればよいか検討を行うことができる。

コース内容

1日目
AM
1.Webアプリケーション脆弱性診断とは
・Webアプリの脆弱性診断はゼロデイ探し
・脆弱性診断はどうしてる?
・脆弱性診断とペネトレーションテスト
・自分(自社)でできない理由
・脆弱性診断技術(Webアプリケーション)スキルマッププロジェクト
2.Webアプリケーションの脅威と手法
・脆弱性とセキュリティ機能の不足
・Webサイト閲覧までの流れ
・Webアプリケーションへの攻撃
・能動的攻撃(Active Attack)
・受動的攻撃(Passive Attack)
・Webアプリケーションの脆弱性・セキュリティ設定の不備
3.HTTP基礎
・HTTP
・HTTPプロトコル(HTTP/1.1)
・HTTPメッセージ
・HTTPメッセージの例
・ヘッダフィールドの構造
・HTTPメソッド
・GETとPOSTの使い分け
・Refererからの漏洩
・HTTPステータスコード
・Cookieを使った状態管理
・URLエンコード
・BASE64
・HTTPリクエストはユーザ側で任意の文字列を設定可能
・クエリパラメータの操作
・フォーム値の操作
・Cookie値の操作
4.インジェクション
・値のチェック箇所
・SQLインジェクション
・SQL
・SQLコマンド
・SQLインジェクションの攻撃例
・正常処理の動作例
・データベースの処理
・SQLインジェクションの動作例
・データベースの処理
・SQLインジェクション結果
・SQLインジェクションの原因
・値の出力先で機能を持ってそれが動作する
・SQLインジェクション・ログインページへの攻撃
・SQLiの影響は他のテーブルにも
・コマンドインジェクション
・コマンドインジェクションの実行
PM
4.インジェクション
・クロスサイトスクリプティング
・XSSの動作例
・XSSの攻撃例
・XSSは攻撃者が罠を用意する受動的攻撃
・正確なリクエストの際のレスポンス
・スクリプト挿入時に表示されるHTMLソースコード(抜粋)
・セッションハイジャック事例
・DOM based XSS
・DOM based XSSが発生しやすい箇所
・CSRFインジェクション
・HTTPヘッダ・インジェクション
・HTTPヘッダーインジェクションの攻撃例
・HTTP Reponse 分割攻撃
・HTTPレスポンス分割攻撃の攻撃例
・メールヘッダインジェクションの攻撃例
・その他のインジェクション
5.セッション管理の不備
・セッションハイジャック
・セッションフィクセイション
・クロスサイトリクエストフォージェリー(CSRF)
・クロスサイト・リクエストフォージェリの攻撃例
・CSRF対策 トークン方式
・その他のセッション管理の不備
6.設定や設計の不備
・ディレクトリリスティング
・強制ブラウジング
・強制ブラウジングの例
・オープンリダイレクト
・ファイルアップロードに係る脆弱性
・情報露出
・エラーメッセージによる情報露出
7.その他
・パストラバーサル
・リモートファイルインクルージョン(RFI)
・リモートファイルインクルージョンの攻撃例
・XML外部エンティティ参照(XXE)
・XML外部エンティティ参照(XXE)・正常処理の動作例
・XML外部エンティティ参照(XXE)・攻撃の例
・安全でないでデシリアライゼーション
・安全でないでデシリアライゼーション・シリアライズとデシリアライズ
・安全でないでデシリアライゼーション
・安全でないでデシリアライゼーション・正常処理の動作例
・安全でないでデシリアライゼーション
・クリックジャッキング
・クリックジャッキング対策
・認証に係る脆弱性
・パスワードに対する攻撃
・総当たり攻撃と辞書攻撃
・参考:漏えいサイトから観る・よく使われているパスワード ワースト10
・パスワードに対する攻撃
・暗号化されたパスワードの解読 レインボーテーブル
・暗号化されたパスワードの解読
・認可制御の不備・欠落
・バッファオーバーフロー
・DoS攻撃(Denial of Service attack)
・ソフトウェアの設定ミス
・その他
8.脆弱性診断に使用するツール
・自動と手動の診断手法
・自動診断ツールの特徴と得意分野
・自動診断ツールでは発見が難しい脆弱性や機能
・脆弱性診断に使用するツール
・OWASP ZAP
・OWASP ZAP 動的スキャンが検出する脆弱性
・Burp Suite Community Edition
・Burp Suite Community版とProfessional版の違い
・Burp Suite Professional Active Scanner
9.脆弱性診断の実施
・脆弱性診断の実施手順
・(演習)環境の説明
・(演習)Burp Suite-診断番号1(SQLインジェクション)
2日目
AM
9.脆弱性診断の実施
・(演習)Burp Suite-診断番号3(SQLインジェクション)
・(演習)Burp Suite-診断番号16(XSS)
・(演習)Burp Suite-診断番号8(コマンドインジェクション)
・(演習)Burp Suite-診断番号47(認可制御の不備)
・(演習)Burp Suite-診断番号50(CSRF)
・(演習)Burp Suite-診断番号52(セッションフィクセイション)
・(演習)Burp Suite-診断番号55(推測可能なセッションID)
・(演習)ZAP
PM
9.脆弱性診断の実施
・診断結果の検証
・誤検知の見逃し
・自動診断ツールの誤検知と見逃しを減らす
・注意すべき診断ツールの設定
10.診断リストの作成
・脆弱性診断の実施手順
・テストケース(診断リストの作成)
・診断リストの作成
・診断リスト
11.報告書の作成
・脆弱性診断の実施手順
・診断報告書
・診断報告書のポイント
・診断報告書の使用目的
・診断報告書の作成
・診断報告書の記載事項
・診断報告書の総合評価
・個別の脆弱性の報告(例)SQLインジェクションの報告
・脆弱性を理解するために
・脆弱性情報を一意に特定する識別子
・脆弱性の深刻度を評価する
・CVSS基本値による深刻度
・CVSS v3 の脆弱性評価項目
・CVSSの計算
・「ウェブ健康診断」におけるリスク判定
・セキュリティ対策の参考資料
12.Webアプリケーションのセキュリティ要件
・セキュリティ要件
・Webアプリケーションのセキュリティ要件は明確
・PR:セキュアWebアプリケーション開発講座
13.業務における脆弱性診断
・診断業務の流れ
・診断実施前の準備
・診断対象の確認方法
・優先度の高い診断対象
・診断会社の主な見積もり算出方法
・実施内容の説明
・ヒアリング - 診断対象に関する事項(1)
・ヒアリング - 診断対象に関する事項(2)
・ヒアリング - 診断実施に関する事項
・環境・データ準備
・オンサイト作業環境の準備
・禁止事項
・免責事項の例
・報告書や脆弱性診断の各種データの扱い
・脆弱性診断士に求められる倫理観
本コースはグローバルセキュリティエキスパート株式会社との提携コースであり、コース実施のためのお客様の個人情報を提携会社に提供させていただきます。

留意事項・備考

本コースはグローバルセキュリティエキスパート株式会社(GSX社)との提携コースであり、コース実施のためのお客様の個人情報を提携会社に提供させていただきます。

・本コースは、10:00~18:00開催です。
・本コースはライブ配信です(後日の録画配信はありません)。
・マイクはご用意できる方のみご用意ください
・テキストはPDF形式にてGSX社より提供されます。
 ※ライブ配信ツールはZoomを使用予定です。接続等に関する詳細情報及びテキストは別途GSX社よりご連絡いたします。
・受講料の中に受験料(1回分)が含まれています。受験は後日、各自で申込みとなります。申込み方法等はGSX社が発行する受講票に案内があります。
・コースの受講登録には、会社名、氏名、E-mailアドレスが必要です。
・大きめのディスプレイもしくはディスプレイを2つご用意いただき、Zoomの画面やテキスト閲覧用と演習環境用の画面を分けて受講されることをおすすめいたします。

開催スケジュール詳細・お申込

開催スケジュールは、日程が決まり次第掲載致します。