HA
コースの概要
Web環境を守るための実践技術が習得できるのは、Zone-Hのノウハウを集約したセミナーだけ。 SQLインジェクション、クロスサイトスクリプティング、ファイルインクルージョン、デフォルト設定の弱点等を、実際に発見し攻撃することで、ハッカーの視点からWebに対するセキュリティへの理解を深めます。昨今多発するWebを介した情報漏洩や不正アクセスに対処するための実践技術を習得します。
コースの特長
ブラックボックスハッキングによるミッション形式の実習内で、受講者が自ら攻撃対象の脆弱ポイントを見つけ出し、攻撃の過程を実際に体験することでセキュリティ強化のポイントを理解します。本コースでは、Webの構成(ファイアウォール、Webサーバ、ミドルウェア、データベース)をハッカーの視点からさまざまな技術を用いて攻撃します。また、最新技術や実際のWebサイトを利用した実演を講義に取り入れることで、より業務に密着した手法が理解できます。
履修対象者
- ITマネージャ
- ITセキュリティスペシャリスト
- セキュリティ担当者
- ネットワーク管理者
- システム管理者
※コースではWindows及びUnix系のコマンドを使用します。
コース内容
Webアプリケーションのハッキングと防御を習得する
- イントロダクション
Webサーバ攻略の作戦 - Webアプリケーションの構成
Webアプリの主な要素と脆弱性 / グーグル検索 - ブラウザセキュリティ
Webブラウザの脆弱性 / ライブセッション - HTTPS のセキュリティ
HTTPS の機能と概念 / HTTPS の技術的脆弱性 / 人的要素による脆弱性 / ライブセッション - Webサーバのハッキング
問題ある設定のWebサーバの攻略 / 情報の露出 / Webサーバ特定の脆弱性 / ライブセッション - SQLインジェクション
SQLインジェクションの技術詳細説明 / データベースの攻略 / ライブセッション - ミドルウェア
PHP のハッキング / PHP の一般的な脆弱性 / URL ポイズニング / URL ポイズニングを使ったハッキング - ファイルインクルージョン
ファイルインクルージョンとは? / ファイルインクルージョンの実行 / ライブセッション - クロスサイトスクリプティング
クロスサイトスクリプティング技術詳細説明 / サイトのハイジャック / セッションハイジャック / ネットワークの脆弱性への攻撃 / HTML の概念と脆弱性 / ライブセッション - 情報漏洩
情報漏洩のメカニズム / ライブセッション
主なトピック
- Webを使用した情報収集と、ツールを使用した情報収集
- ネットワークマッピング(DNS brute-forcing・Zone Transfer)
- 脆弱情報の収集
- Rootkit
- トロイの木馬
- Webサイトに良く見られる脆弱ポイント
- クロスサイトスクリプティング
- Linuxの脆弱性(SSH、SSL、Apacheの脆弱性)
- Windowsの脆弱性(Frontpageエクステンション脆弱性・Unicodeの脆弱性)
- IEの脆弱性
- データベースの脆弱性(SQLインジェクション・URLポイゾニング)
- バッファオーバーフローの仕組み
- 適切なパッチの当て方
- ソーシャルエンジニアリング
- 将来予想される攻撃対象(第3世代携帯電話)
開催要項
