【10月24日(水)・11月7日(水)】徳丸本によるホワイトハッカー入門 ~基礎講座・応用講座~ 開催レポート

『体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 第2版』(通称:徳丸本第2版)の内容を著者である弊社徳丸とともに学ぶ講座の第2弾「徳丸本基礎講座」、「徳丸本応用講座」を開講しました。

7月に開講しました「徳丸本実践講座」を受け、徳丸本第2版の取り扱う内容から学んでおくべき基礎的な内容をまとめたものを「基礎講座」、特に理解が難しいと思われる内容をまとめたものを「応用講座」とし、受講者がご自身のレベルに合わせて理解を深めることが出来るコース設定を目指しました。

開講時の様子(EGセキュアソリューションズ社内)

 

基礎講座

内容として以下の4テーマを取り扱いました。

  • Webセキュリティの基礎
  • SQL SQL呼び出しに伴う脆弱性
  • XSS 表示処理に伴う問題
  • CSRF 「重要な処理」の再に混入する脆弱性

 

基礎講座では、徳丸本第2版の中でも基本として特に押さえて欲しい項目をピックアップしております。

この中で、CSRF(クロスサイト・リクエストフォージェリ)は、脆弱性が存在した場合の影響度が高い割に、脆弱性として軽視されがちです。EGセキュアソリューションズは、この現状を重く受け止め、CSRFを重要かつ危険な脆弱性として基礎講座のカリキュラムに盛り込んでおります。

CSRF脆弱性は原理が分かり辛い上にXSSに手法が類似している(出典:徳丸本基礎講座テキスト)

 

基礎講座は主に、自社のサービス開発や運用、セキュリティ担当をされている方に受講いただき、「日々の開発に生かしたい」「自社で脆弱性診断を受ける際に役立てたい」といった脆弱性に対する理解を深めたいという想いが伝わってきました。

受講後アンケートでは、「デモがあり分かりやすかった」「XSSの原理について丁寧に解説を聞くことができ、良かった」などのご意見をいただき、多くの方に満足していただけたようです。

 

応用講座

内容として以下の5テーマを取り扱いました。

  • Webセキュリティの基礎、CORS
  • ファイルアップロードにまつわる問題
  • 構造化データの読み込みにまつわる問題
  • Web API実装における脆弱性
  • JavaScriptの問題

 

応用講座は、ある程度のセキュアコーディングやWebの知識をお持ちの方に、より脆弱性に対する知見を深めていただきたいという願いを込めて開講いたしました。

内容としては、HTML5の普及に合わせて徳丸本第2版に追加されたWeb APIやJavaScriptの項目に加え、OWASP Top10 – 2017に対応してXXEや安全でないデシリアライゼーションなど、近年危険性が見直されている脆弱性や実装難易度が高い技術にまつわる脆弱性を中心として構成しております。

こちらのコースには、自社での調査・研究を担当されている方や開発者の方に、自身の技術向上、社内への展開、運用プロジェクトの品質向上などを目標としてご参加いただきました。

また、休憩時間には講師である徳丸とディスカッションを交える場面もあり、より多くの情報を収集して日々の業務に生かそう、という熱意を持った受講者の方が多くいらっしゃいました。

 

講座を終えて

いずれの講座も参加者の方から、「自社の社員にも参加してほしい」「解説やテキストが分かりやすく満足している」といった評価をいただいておりますが、一方でレベルにそぐわなかった方も僅かながらいらっしゃいました。難易度設定については難しい所がございますが、今後はより一層受講者のレベルに合わせた講座を展開する予定です。今回ご参加いただいた皆様には深く感謝申し上げるとともに、またのご参加をお待ちしております。

 

関連記事