概要
『体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 第2版』(通称:徳丸本第2版)の内容を著者とともに学ぶ「徳丸本講座」の第4弾として、「徳丸本基礎講座」を8月29日に、「徳丸本応用講座」を8月30日にそれぞれ開講いたします。
本講座は、徳丸本の内容を基礎講座と応用講座の2日間に凝縮し、Webアプリケーションの脆弱性について座学形式での解説を行うものです。基礎講座では徳丸本第2版の中から最低限押さえておくべき内容を、応用講座では徳丸本第2版の中でも特に理解の難しい内容を学びます。
セミナー受講対象者
- ■ Webアプリケーションの設計や開発、運用などに関わっている方
- ■ セキュリティエンジニア(初級者~中級者程度)
- ■ ユーザー企業のセキュリティ担当者
※本講習会は、法人または法人に所属する個人のみを対象とさせていただきます。
講座内容
以下の表は「徳丸本」で紹介されている、Webアプリケーションの機能別に見るセキュリティバグの一覧です。
基礎講座では最低限押さえておくべき内容をピックアップして、応用講座では特に理解の難しい内容を含めて、カリキュラムを構成します。
| Webアプリケーションの脆弱性とは | 基礎 | 応用 |
| 脆弱性とは、「悪用できるバグ」 | ○ | |
| 脆弱性があるとなぜ駄目なのか | ○ | |
| 脆弱性が生まれる理由 | ○ | |
| Webセキュリティの基礎 | 基礎 | 応用 |
| HTTPとセッション管理 | ○ | |
| 受動的攻撃と同一オリジンポリシー | ○ | ○ |
| CORS(Cross Origin Resource Sharing) | ○ | |
| Webアプリケーションの機能別にみるセキュリティバグ | 基礎 | 応用 |
| 表示処理に伴う問題 – クロスサイト・スクリプティング(基本編) | ○ | |
| 表示処理に伴う問題 – クロスサイト・スクリプティング(発展編) | ○ | |
| SQL呼び出しに伴う脆弱性 – SQLインジェクション | ○ | |
| 「重要な処理」の際に混入する脆弱性 – クロスサイト・リクエストフォージェリ | ○ | |
| 「重要な処理」の際に混入する脆弱性 – クリックジャッキング | ○ | |
| ファイルアップロードにまつわる問題 – アップロードファイルによるサーバー側スクリプト実行 | ○ | |
| ファイルアップロードにまつわる問題 – ファイルダウンロードによるクロスサイト・スクリプティング | ○ | |
| ファイルアップロードにまつわる問題 – PDFのFormCalcによるコンテンツハイジャック | ○ | |
| 構造化データの読み込みにまつわる問題 – evalインジェクション | ○ | |
| 構造化データの読み込みにまつわる問題 – 安全でないデシリアライゼーション | ○ | |
| 構造化データの読み込みにまつわる問題 – XML外部実体参照(XXE) | ○ | |
| Web API実装における脆弱性 – JSONとJSONPの概要 | ○ | |
| Web API実装における脆弱性 – JSONエスケープの不備 | ○ | |
| Web API実装における脆弱性 – JSON直接閲覧によるXSS | ○ | |
| Web API実装における脆弱性 – JSONPのコールバック関数名によるXSS | ○ | |
| JavaScriptの問題 – DOM Based XSS | ○ | |
| SSRF脆弱性の解説 | ○ | |
(内容は予告なく変更になることがあります)
弊社ブログにて講座内容の紹介記事を公開しております。こちらもご参照ください。
https://blog.eg-secure.co.jp/2019/05/blog-post.html
講師
『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践』 著者 徳丸 浩
講座要項
| 講座名 |
|
| 講座形式 | 座学 |
| 開催期間 |
※基礎講座・応用講座いずれか一方のみ受講することも可能です |
| 定員 | 基礎講座・応用講座 各30名 |
| 価格 | 基礎講座・応用講座 各95,000円 (税抜) |
| 会場 | 虎ノ門琴平タワー 3F 大会議室 〒105-0001 東京都港区虎ノ門1-2-8 |
| お申し込み締切日 | 2019年8月16日(金)(基礎講座・応用講座とも) |
お申し込み
https://www.eg-secure.co.jp/seminar_signup/
