株式会社トライコーダ お問い合わせはこちら
情報セキュリティ教育 脆弱性診断 会社概要

HOME > 情報セキュリティ教育 >自社で取り組むWebアプリケーション脆弱性診断

情報セキュリティ教育

自社で取り組むWebアプリケーション脆弱性診断

コースの概要

セキュアなWebサイト構築のために、セキュリティテストとして、適切なWebアプリケーション脆弱性診断の実施が必要なことは知られてきました。しかし、脆弱性診断を自動化するツールはさまざまなものがありますが、ツールが発見した脆弱性を修正するだけでは不十分なのです。これは多くの脆弱性診断会社の診断サービスが、いまだに経験を積んだ診断員の手作業を交えて診断を行っていることからもわかるかと思います。

  • 自社で脆弱性診断に取り組もうとした場合、以下のような悩みを持っていませんか?
  • Webシステム・Webアプリケーション脆弱性についての知識がない
  • 脆弱性を発見するための手段やツールについての知識がない
  • 脆弱性かどうかを判定する基準が判らない
  • 発見した脆弱性をどのように報告すればよいか判らない

本講座は、自社内でWebアプリケーション脆弱性診断に取り組むために必要な攻撃技術の知識、診断技術や脆弱性判定の基準などを身につけることを目的としています。

次のスキルが習得できます

  • Webシステム/Webアプリケーションの脆弱性診断の技術を身につけることができる
  • Webシステムに対して発生しうる脅威・攻撃手法についての理解

対象者

○脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織

  • 脆弱性診断を内製化に取り組みたい開発会社など
  • 脆弱性診断要員を教育を外注化したい開発会社や診断会社

○イントラネット/インターネット向けのWebシステム/Webアプリケーションに関わる下記の方

  • Webアプリケーションの開発者
  • Webアプリケーションのテスト担当者
  • 品質管理担当者

コースの内容

セキュアなWebシステム/Webアプリケーション構築に必要な脆弱性診断技術を、実施方法やツールの使い方、レポートの書き方などを、実践・実習を通して具体的に学んで頂きます。
また、脆弱性診断を身につけてもらうために理解が必要な、昨今のWebに対する脅威や攻撃の具体例なども学んで頂きます。

○Webアプリケーションの脅威とその攻撃手法

代表的なWebアプリケーションに対する攻撃手法とその仕組みについてデモや実習を交えながら学びます。

  • 脆弱性とセキュリティ機能の不足
  • Webサイトへの攻撃とその特徴
  • Webアプリケーションへの攻撃手法
    • HTTPの基礎
    • SQLインジェクション
    • コマンドインジェクション
    • クロスサイトスクリプティング(XSS)
    • パストラバーサル
    • OSコマンドインジェクション
    • CRLFインジェクション
    • HTTPヘッダーインジェクション
    • メールヘッダーインジェクション
    • リモートファイルインクルージョン(RFI)
    • セッションハイジャック
    • セッションフィクセーション
    • クロスサイトリクエストフォージェリー(CSRF)
    • 強制ブラウジング
    • オープンリダイレクト
    • ファイルアップロードに係わる脆弱性
    • 認可制御の不備・欠落
    • 認証に係わる脆弱性
    • Webサイトのパスワードに対する攻撃
    • クリックジャッキング

○脆弱性診断の実施

自社で脆弱性診断を行うためには、どういう診断を実施すればよいか。どこまで診断を実施すればよいか。脆弱性判定の基準は何か、レポートはどう書けばよいのかといったことを学びます。

  • Webアプリケーション脆弱性診断の実施手順
  • 自動と手動の診断手法
  • 自動診断ツールの得意分野と不得意分野
  • 注意すべき診断ツールの設定
  • 診断結果の検証
  • 診断リスト(テストケース)の作成
  • 脆弱性診断の診断方法と脆弱性の有無の判定方法について
  • 脆弱性診断の診断対象の選び方
  • 報告書の作成
    • 診断報告書のポイント
    • 記載事項
    • 総合評価
    • 個別の脆弱性の報告
  • 診断会社の業務における脆弱性診断
    • 診断実施前の準備
    • 診断対象の確認方法
    • 診断会社の主な見積もり算出方法
    • 実施内容の説明
    • ヒアリング
    • 環境・データ準備
    • オンサイト作業環境の準備
    • 禁止事項
    • 免責事項
    • 報告書や脆弱性診断の各種データの扱い
    • 脆弱性診断士に求められる倫理観

○脆弱性診断演習

オープンソースソフトウェア(OSS)やフリーウェアなどを中心に使用して実際の診断方法を学んでいきます。

  • 診断ツールのセットアップ
  • 自動診断ツールの使い方
  • 手動診断補助ツールの使い方
  • 各脆弱性に対応した診断方法
  • 実際の診断業務を想定した演習

セミナーの様子 セミナーの様子

 

お問い合わせ、お申し込み

ご相談、お申し込みなどについてのお問い合わせはこちらまで。

電話: 03-4530-0543
メール: info@tricorder.jp

もしくは、下記メールフォームより送信して下さい。
後ほど弊社担当者からご連絡させて頂きます。

ご担当者名
会社名
電話番号
メールアドレス
メールアドレス (もう1度入力)
Webサイト
お問い合わせ内容

 

は入力必須項目です。

セキュアWebアプリケーション開発講座

自社で取り組むWebアプリケーション脆弱性診断

自社で取り組むネットワーク脆弱性診断

発注者のためのWebシステム/Webアプリケーションセキュリティ要件書