IT・技術研修ならCTC教育サービス

コース内容

コース概要

脆弱性（脆弱性があると駄目な理由、生まれる理由など）やGET/POSTなどのHTTP通信の仕組みなど、Webセキュリティについての基本的な考え方や、表示処理に伴う攻撃（XSS）、SQL呼び出しに伴う攻撃（SQLインジェクション）、「重要な処理」の際に混入する攻撃（CSRF）などの一般的な攻撃手法と対策について取り扱います。
なお、テキスト内のサンプルコードはPHPにより記載されています。

・関連書籍
『体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践　第2版』（通称：徳丸本第2版）
※本コースの受講には必ずしも必要はありませんが、ウェブ・セキュリティ基礎試験（徳丸基礎試験）を受験される方は入手を推奨します

学習目標

・HTTPの基礎を理解する
・主要なWEBアプリケーションの脆弱性が生まれる原理と対策を理解する

対象者

・Webアプリケーションの設計や開発、運用などに関わっている方
・セキュリティエンジニア（初級者〜中級者程度）
・ユーザー企業のセキュリティ担当者

前提知識

・アプリケーションの開発の経験がある方
・アプリケーションの開発の経験の経験がない方は以下のコースを事前に受講ください。
PHPで学ぶはじめてのWebアプリケーション
https://www.school.ctc-g.co.jp/course/CR174.html

（関連するコースへのリンク）

　【CR215】PHPで学ぶはじめてのWebアプリケーション

スクール環境

Liveオンライン研修（Zoom）
https://www.school.ctc-g.co.jp/liveonline/index.html

内容

●はじめに
・学習目標
・徳丸基礎試験の概要
・徳丸本解説（構成の説明）
●Webアプリケーションの脆弱性とは
・脆弱性とは「悪用できるバグ」
・脆弱性があるとなぜ駄目なのか
・脆弱性が生まれる理由
●SQL呼び出しに伴う脆弱性
・SQLインジェクション
●HTTPとセッション管理
・HTTPの概要
・クッキーとセッション管理
・クッキーの属性
●受動的攻撃と同一オリジンポリシー
・能動的攻撃と受動的攻撃
・受動的攻撃の例
・同一オリジンポリシー
●表示処理に伴う問題
・クロスサイト・スクリプティング
●「重要な処理」の際に混入する脆弱性
・クロスサイト・リクエストフォージェリ（CSRF）
・クリックジャッキング
●セッション管理の不備
・セッションハイジャック
●リダイレクト処理にまつわる
・オープンリダイレクト
・HTTPヘッダインジェクション
●クッキー出力にまつわる脆弱性
クッキーのセキュア属性不備
●メール送信の問題
・メールヘッダインジェクション
●ファイルアクセスおよびファイルアップロードにまつわる問題
・ディレクトリトラバーサル
・ファイルアップロード
●OSコマンド呼び出しの際に発生する脆弱性
・OSコマンドインジェクション
●代表的なセキュリティ機能
・認証
・アカウント管理
・認可

備考

本コースはCTCTオリジナルコースです。
本コースはウェブ・セキュリティ基礎試験（徳丸基礎試験）の認定コースです。
PHP技術者認定機構　ウェブ・セキュリティ基礎試験(徳丸基礎試験）
コースカリキュラムは予告なく変更となる可能性があります。

[テキスト]
本コースは電子版のテキストをお渡しします。
電子テキスト

・関連書籍
『体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践　第2版』（通称：徳丸本第2版）
※本コースの受講には必ずしも必要はありませんが、ウェブ・セキュリティ基礎試験（徳丸基礎試験）を受験される方は入手を推奨します

[使用ソフトウェア]
本コースでは下記のソフトウェアを使用しますので、ご受講開始までにご準備ください。。
・Zoom
ソフトウェアの利用マニュアルは、下記をご確認ください。
Liveオンライン研修 使用ソフトウェア　各種マニュアル

※Liveオンライン研修について
https://www.school.ctc-g.co.jp/liveonline/index.html