AW
コースの概要
本講座は、自社内でWebアプリケーション脆弱性診断に取り組むために必要な攻撃技術の知識、診断技術や脆弱性判定の基準などを身につけることを目的としています。
セキュアなWebサイト構築のために、セキュリティテストとして、適切なWebアプリケーション脆弱性診断の実施が必要なことは知られてきました。
しかし、脆弱性診断を自動化するツールはさまざまなものがありますが、ツールが発見した脆弱性を修正するだけでは不十分なのです。これは多くの脆弱性診断会社の診断サービスが、いまだに経験を積んだ診断員の手作業を交えて診断を行っていることからもわかるかと思います。
自社で脆弱性診断に取り組もうとした場合、以下のような悩みを持っていませんか?
- Webシステム・Webアプリケーション脆弱性についての知識がない
- 脆弱性を発見するための手段やツールについての知識がない
- 脆弱性かどうかを判定する基準が判らない
- 発見した脆弱性をどのように報告すればよいか判らない
コースの特長
セキュアなWebシステム/Webアプリケーション構築に必要な脆弱性診断技術を、実施方法やツールの使い方、レポートの書き方などを、実践・実習を通して具体的に学んで頂きます。また、脆弱性診断を身につけてもらうために理解が必要な、昨今のWebに対する脅威や攻撃の具体例なども学んで頂きます。
- Webシステム/Webアプリケーションの脆弱性診断の技術を身につけることができる
- Webシステムに対して発生しうる脅威・攻撃手法についての理解
履修対象者
脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
- 脆弱性診断の内製化に取り組みたいユーザ会社や開発会社など
- 脆弱性診断のノウハウを身に付けたい開発会社や診断会社
下記のようにイントラネット/インターネット向けのWebシステム/Webアプリケーションに関わる方
- Webアプリケーションの開発者
- Webアプリケーションのテスト担当者
- 品質管理担当者
コース内容
Webアプリケーションの脅威とその攻撃手法
代表的なWebアプリケーションに対する攻撃手法とその仕組みについてデモや実習を交えながら学びます。
- Webサイトへの攻撃とその特長
- Webアプリケーションへの攻撃手法
クロスサイトスクリプティング(XSS) / クロスサイトトレーシング(XST) / SQLインジェクション / ディレクトリトラバーサル / OSコマンドインジェクション / HTTPヘッダインジェクション / セッションハイジャック / クロスサイトリクエストフォージェリー(CSRF) / パスワード攻撃 / 強制ブラウズ / その他の攻撃手法について
脆弱性診断の基準
自社で脆弱性診断を行うためには、どういう診断を実施すればよいか。どこまで診断を実施すればよいか。脆弱性判定の基準は何か、レポートはどう書けばよいのかといったことを学びます。
- Webアプリケーション脆弱性診断概要
- 脆弱性診断の診断方法と脆弱性の有無の判定方法について
- 脆弱性診断の診断対象の選び方
- 脆弱性診断のレポートの記載方法とポイント
脆弱性診断の実施
オープンソースソフトウェア(OSS)やフリーウェアなどを中心に使用して実際の診断方法を学んでいきます。
- 診断ツールの使い方
- 各脆弱性に対応した診断方法
- 実際の診断業務を想定した実習
開催要項
