コース概要

セキュアなWebサイト構築のためのセキュリティテストとして、適切なWebアプリケーション脆弱性診断の実施が必要なことは知られてきました。しかし、脆弱性診断を自動化するツールはさまざまなものがありますが、自動診断ツールが発見した脆弱性を修正するだけでは不十分なのです。これは多くの脆弱性診断会社の診断サービスが、いまだに経験を積んだ診断員の手作業を交えて診断を行っていることからもわかるかと思います。

自社で脆弱性診断に取り組もうとした場合、以下のような悩みを持っていませんか?

  • Webシステム・Webアプリケーション脆弱性についての知識がない
  • 脆弱性を発見するための手段やツールについての知識がない
  • 脆弱性かどうかを判定する基準が判らない
  • 発見した脆弱性をどのように報告すればよいか判らない

本講座は、自社内でWebアプリケーション脆弱性診断に取り組むために必要な攻撃技術の知識、診断技術や脆弱性判定の基準などを身につけることを目的としています。
本講座で学ぶ内容は、脆弱性診断士スキルマッププロジェクトがスキルマップで定義している「Silver」レベル相当の技術を身につけることを目的としていて、同プロジェクトが公開する「Webアプリケーション脆弱性診断ガイドライン」に準拠しています。

対象者
  • 脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
    • 脆弱性診断を内製化に取り組みたい開発会社など
    • 脆弱性診断要員を教育を外注化したい開発会社や診断会社
  • イントラネット/インターネット向けのWebシステム/Webアプリケーションに関わる下記の方
    • Webアプリケーションの開発者
    • Webアプリケーションのテスト担当者
    • 品質管理担当者
内容

セキュアなWebシステム/Webアプリケーション構築に必要な脆弱性診断技術を、実施方法やツールの使い方、レポートの書き方などを、実践・実習を通して具体的に学びます
また、脆弱性診断を身につけてもらうために理解が必要な、昨今のWebに対する脅威や攻撃の具体例なども学びます。

Webアプリケーションの脅威とその攻撃手法

代表的なWebアプリケーションに対する攻撃手法とその仕組みについてデモや実習を交えながら学びます。

  • 脆弱性とセキュリティ機能の不足
  • Webサイトへの攻撃とその特徴
  • HTTPの基礎
  • Webアプリケーションへの攻撃手法
    • SQLインジェクション
    • コマンドインジェクション
    • CRLFインジェクション
    • クロスサイトスクリプティング(XSS)
    • CSSインジェクション
    • Relative Path Overwrite
    • サーバサイドテンプレートインジェクション(SSTi)
    • パストラバーサル
    • ファイルアップロードに関する不備
    • XML外部エンティティ参照(XXE)
    • オープンリダイレクト
    • シリアライズされたオブジェクト
    • サーバサイドリクエストフォージェリ(SSRF)
    • クロスサイトウェブソケットハイジャッキング(CSWSH)
    • クリックジャッキング
    • 認証
    • セッション管理の不備
    • 認可制御の不備
    • クロスサイトリクエストフォージェリ(CSRF)
    • 情報漏えい
    • サーバーソフトウェアの設定の不備
    • 公開不要な機能・ファイル・ディレクトリの存在
    • 既知の脆弱性
脆弱性診断の実施

自社で脆弱性診断を行うためには、どういう診断を実施すればよいか。どこまで診断を実施すればよいか。脆弱性判定の基準は何か、レポートはどう書けばよいのかといったことを学びます。

  • Webアプリケーション脆弱性診断の実施手順
  • 自動と手動の診断手法
  • 自動診断ツールの特長と得意分野、発見が難しい脆弱性や機能について
  • 診断結果の検証、誤検知と見逃しについて
  • 注意すべき診断ツールの設定
  • APIの診断について
  • 診断リスト(テストケース)の作成
  • 脆弱性診断の診断方法と脆弱性の有無の判定方法について
  • 脆弱性診断の診断対象の選び方
  • 報告書の作成
    • 診断報告書のポイント
    • 記載事項
    • 総合評価
    • 個別の脆弱性の報告
    • リスク判定
    • 脆弱性管理アプローチ
  • 診断会社の業務における脆弱性診断
    • 診断実施前の準備
    • 診断対象の確認方法
    • 診断会社の主な見積もり算出方法
    • 実施内容の説明
    • ヒアリング
    • 環境・データ準備
    • オンサイト作業環境の準備
    • 禁止事項
    • 免責事項
    • 報告書や脆弱性診断の各種データの扱い
    • 脆弱性診断士に求められる倫理観
  • 今後の自己トレーニングについて
脆弱性診断演習

オープンソースソフトウェア(OSS)やフリーウェアなどを中心に使用して実際の診断方法を学んでいきます。

  • 診断ツールのセットアップ
  • 自動診断ツールの使い方
  • 手動診断補助ツールの使い方
  • 各脆弱性に対応した診断方法
  • 実際の診断業務を想定した演習
お問い合わせ・お申し込み

ご相談、お申し込みなどについてはこちらまで。