〜Webアプリケーションの脆弱性と攻撃、対策〜
コースコード | WS002 | 期間 | 1日間 | 時間 | 09:30~17:00 | 価格 | \110,000(税込) | 主催 | CTCT |
---|
コースコード | WS002 | 期間 | 1日間 | 時間 | 09:30~17:00 |
---|---|---|---|---|---|
価格 | \110,000(税込) | 主催 | CTCT |
コースコード | WS002 | ||
---|---|---|---|
期間 | 1日間 | ||
時間 | 09:30~17:00 | ||
価格 | \110,000(税込) | ||
主催 | CTCT |
脆弱性(脆弱性があると駄目な理由、生まれる理由など)やGET/POSTなどのHTTP通信の仕組みなど、Webセキュリティについての基本的な考え方や、表示処理に伴う攻撃(XSS)、SQL呼び出しに伴う攻撃(SQLインジェクション)、「重要な処理」の際に混入する攻撃(CSRF)などの一般的な攻撃手法と対策について取り扱います。
なお、テキスト内のサンプルコードはPHPにより記載されています。
・関連書籍
『体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 第2版』(通称:徳丸本第2版)
※本コースの受講には必ずしも必要はありませんが、ウェブ・セキュリティ基礎試験(徳丸基礎試験)を受験される方は入手を推奨します
・HTTPの基礎を理解する
・主要なWEBアプリケーションの脆弱性が生まれる原理と対策を理解する
・Webアプリケーションの設計や開発、運用などに関わっている方
・セキュリティエンジニア(初級者〜中級者程度)
・ユーザー企業のセキュリティ担当者
・アプリケーションの開発の経験がある方
・アプリケーションの開発の経験の経験がない方は以下のコースを事前に受講ください。
PHPで学ぶはじめてのWebアプリケーション
https://www.school.ctc-g.co.jp/course/CR174.html
Liveオンライン研修(Zoom)
https://www.school.ctc-g.co.jp/liveonline/index.html
●はじめに
・学習目標
・徳丸基礎試験の概要
・徳丸本解説(構成の説明)
●Webアプリケーションの脆弱性とは
・脆弱性とは「悪用できるバグ」
・脆弱性があるとなぜ駄目なのか
・脆弱性が生まれる理由
●SQL呼び出しに伴う脆弱性
・SQLインジェクション
●HTTPとセッション管理
・HTTPの概要
・クッキーとセッション管理
・クッキーの属性
●受動的攻撃と同一オリジンポリシー
・能動的攻撃と受動的攻撃
・受動的攻撃の例
・同一オリジンポリシー
●表示処理に伴う問題
・クロスサイト・スクリプティング
●「重要な処理」の際に混入する脆弱性
・クロスサイト・リクエストフォージェリ(CSRF)
・クリックジャッキング
●セッション管理の不備
・セッションハイジャック
●リダイレクト処理にまつわる
・オープンリダイレクト
・HTTPヘッダインジェクション
●クッキー出力にまつわる脆弱性
クッキーのセキュア属性不備
●メール送信の問題
・メールヘッダインジェクション
●ファイルアクセスおよびファイルアップロードにまつわる問題
・ディレクトリトラバーサル
・ファイルアップロード
●OSコマンド呼び出しの際に発生する脆弱性
・OSコマンドインジェクション
●代表的なセキュリティ機能
・認証
・アカウント管理
・認可
本コースはCTCTオリジナルコースです。
本コースはウェブ・セキュリティ基礎試験(徳丸基礎試験)の認定コースです。
PHP技術者認定機構 ウェブ・セキュリティ基礎試験(徳丸基礎試験)
コースカリキュラムは予告なく変更となる可能性があります。
[テキスト]
本コースは電子版のテキストをお渡しします。
電子テキスト
・関連書籍
『体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 第2版』(通称:徳丸本第2版)
※本コースの受講には必ずしも必要はありませんが、ウェブ・セキュリティ基礎試験(徳丸基礎試験)を受験される方は入手を推奨します
[使用ソフトウェア]
本コースでは下記のソフトウェアを使用しますので、ご受講開始までにご準備ください。。
・Zoom
ソフトウェアの利用マニュアルは、下記をご確認ください。
Liveオンライン研修 使用ソフトウェア 各種マニュアル
※Liveオンライン研修について
https://www.school.ctc-g.co.jp/liveonline/index.html
このコースは、Liveオンライン研修または集合研修(会場)で開催するコースです。
(Liveオンライン研修の詳細はこちら)
Liveオンライン研修をご希望の方は、"【会場】Liveオンライン" の日程をお申し込みください。