コース概要

セキュアなWebサイト構築のためのセキュリティテストとして、適切なWebアプリケーション脆弱性診断の実施が必要なことは知られてきました。しかし、脆弱性診断を自動化するツールはさまざまなものがありますが、自動診断ツールが発見した脆弱性を修正するだけでは不十分なのです。これは多くの脆弱性診断会社の診断サービスが、いまだに経験を積んだ診断員の手作業を交えて診断を行っていることからもわかるかと思います。

自社で脆弱性診断に取り組もうとした場合、以下のような悩みを持っていませんか?

  • Webシステム・Webアプリケーション脆弱性についての知識がない
  • 脆弱性を発見するための手段やツールについての知識がない
  • 脆弱性かどうかを判定する基準が判らない
  • 発見した脆弱性をどのように報告すればよいか判らない

本講座は、自社内でWebアプリケーション脆弱性診断に取り組むために必要な攻撃技術の知識、診断技術や脆弱性判定の基準などを身につけることを目的としています。
本講座で学ぶ内容は、脆弱性診断士スキルマッププロジェクトがスキルマップで定義している「Silver」レベル相当の技術を身につけることを目的としていて、同プロジェクトが公開する「Webアプリケーション脆弱性診断ガイドライン」に準拠しています。

対象者
  • 脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
    • 脆弱性診断を内製化に取り組みたい開発会社など
    • 脆弱性診断要員を教育を外注化したい開発会社や診断会社
  • イントラネット/インターネット向けのWebシステム/Webアプリケーションに関わる下記の方
    • Webアプリケーションの開発者
    • Webアプリケーションのテスト担当者
    • 品質管理担当者
内容

セキュアなWebシステム/Webアプリケーション構築に必要な脆弱性診断技術を、実施方法やツールの使い方、レポートの書き方などを、実践・実習を通して具体的に学びます
また、脆弱性診断を身につけてもらうために理解が必要な、昨今のWebに対する脅威や攻撃の具体例なども学びます。

Webアプリケーションの脅威とその攻撃手法

代表的なWebアプリケーションに対する攻撃手法とその仕組みについてデモや実習を交えながら学びます。

  • 脆弱性とセキュリティ機能の不足
  • Webサイトへの攻撃とその特徴
  • HTTPの基礎
  • Webアプリケーションへの攻撃手法
    • SQLインジェクション
    • コマンドインジェクション
    • クロスサイトスクリプティング(XSS)
    • パストラバーサル
    • CRLFインジェクション
    • HTTPヘッダーインジェクション
    • メールヘッダーインジェクション
    • リモートファイルインクルージョン(RFI)
    • セッションハイジャック
    • セッションフィクセーション
    • クロスサイトリクエストフォージェリー(CSRF)
    • 強制ブラウジング
    • オープンリダイレクト
    • ファイルアップロードに係わる脆弱性
    • 認可制御の不備・欠落
    • 認証に係わる脆弱性
    • Webサイトのパスワードに対する攻撃
    • クリックジャッキング
脆弱性診断の実施

自社で脆弱性診断を行うためには、どういう診断を実施すればよいか。どこまで診断を実施すればよいか。脆弱性判定の基準は何か、レポートはどう書けばよいのかといったことを学びます。

  • Webアプリケーション脆弱性診断の実施手順
  • 自動と手動の診断手法
  • 自動診断ツールの得意分野と不得意分野
  • 注意すべき診断ツールの設定
  • 診断結果の検証
  • 診断リスト(テストケース)の作成
  • 脆弱性診断の診断方法と脆弱性の有無の判定方法について
  • 脆弱性診断の診断対象の選び方
  • 報告書の作成
    • 診断報告書のポイント
    • 記載事項
    • 総合評価
    • 個別の脆弱性の報告
  • 診断会社の業務における脆弱性診断
    • 診断実施前の準備
    • 診断対象の確認方法
    • 診断会社の主な見積もり算出方法
    • 実施内容の説明
    • ヒアリング
    • 環境・データ準備
    • オンサイト作業環境の準備
    • 禁止事項
    • 免責事項
    • 報告書や脆弱性診断の各種データの扱い
    • 脆弱性診断士に求められる倫理観
脆弱性診断演習

オープンソースソフトウェア(OSS)やフリーウェアなどを中心に使用して実際の診断方法を学んでいきます。

  • 診断ツールのセットアップ
  • 自動診断ツールの使い方
  • 手動診断補助ツールの使い方
  • 各脆弱性に対応した診断方法
  • 実際の診断業務を想定した演習
お問い合わせ・お申し込み

ご相談、お申し込みなどについてはこちらまで。