僻地の大学院生の雑記帳

趣味や勉強していることについてゆるゆると。

脆弱性診断 初心者ハンズオントレーニング に参加した

勉強会 セキュリティ

10月7日土曜日に, 脆弱性診断 初心者ハンズオントレーニング に参加してきた. OWASP Japan, ISOG-J WG1, そして, Burp Suite Japanの共催によるトレーニングで, 脆弱性診断ガイドラインに沿って診断を学ぼうというもの. 会場はサイボウズ株式会社さん. 森があってフクロウがいた....すごい...

以下, トレーニングの流れを簡単に紹介する.

導入

脆弱性診断士スキルマッププロジェクト ( Pentester Skillmap Project JP - OWASP ) の紹介, そして, そのプロジェクトの一環として2017年4月にリリースされたWebアプリケーション脆弱性診断ガイドラインの紹介があった.

脆弱性診断士スキルマッププロジェクトとは, 以下の通り.

脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性診断を行う技術者(以下、脆弱性診断士)のスキルマップと学習の指針となるシラバス脆弱性診断を行うためのガイドラインを整備しています。

Pentester Skillmap Project JP - OWASP

スキルマップ&シラバスには, 脆弱性診断士に必要なスキルがかなり細かく記載されており, 診断士を目指す人にとっても, また, 診断を依頼する人にとっても診断士のスキルを具体的に把握することができるのでとても参考になると思う. ガイドライン・スキルマップ&シラバスは誰でも上記プロジェクトのリンクから閲覧, ダウンロードすることが可能である.

ちなみに, 私の作業机の横には印刷したスキルマップが貼ってあるゾ(・-・)v .

HTTP基礎入門

webの構成技術のお話. HTTPのパケット構成の話やステータスコードの話などHTTP通信について, 初心者がトレーニングを受けるにあたって最低限とはいえ基礎がしっかりと抑えられた講義となっており, とてもわかりやすくまとまっていた.

Burp Suiteの使い方

Burp Suiteとはなんぞやから始まり, 使ってみましょう〜, という話. Burp Suiteとは, ローカルプロキシの1つ. 詳しくは, Burp Suiteスタートアップ用ドキュメント が公開されているので参考に.

今回は, Badstoreという, 脆弱性について勉強するために意図的に脆弱性が作り込まれたwebアプリケーションとBurp Suiteを用い, 実際に診断の一部分を体験した. トレーニングでは, BadstoreをBurp Suiteのプラグイン形式にした箱庭BadStoreが用いられたのだが, ISOイメージとして配布されている元祖Badstoreしか使ったことがなかったので, 簡単に導入できて非常に使いやすかった.

この講義では, 後半に行われた診断実践の前段階として, Burp Suiteを用いてBadstoreとの通信をキャプチャをするところまでがハンズオン形式で行われた.

ガイドラインの見方

ガイドラインの見方についてのお話. (ガイドラインスキルマッププロジェクトのページからダウンロード可能.)

ガイドラインには, 導入にあった通り, かなり細かく診断を行う上で最低限必要な診断項目と手順が書いてある. 実際に投げるペイロードの例から, 脆弱性がある場合とない場合でのレスポンスの違いなどまで丁寧に記載されているため, 誰にでもとてもわかりやすい作りとなっているよ. ほんと丁寧!!

Badstoreでの診断実践(SQLinjection & XSS)

SQLiとXSSの診断例の紹介から, 実際にガイドラインに沿って診断やってみよう〜という講義. 実際にBadstoreに対して診断を行ったのだが, ゴリゴリ診断してみよう! というよりは, トレーニング後に自身で診断の勉強がしやすいよう, Burp Suiteのいろいろな使い方を学んで一人で使えるようになろう! という感じの講義だった.

まとめると, 診断って地味で辛いんだよ! というメッセージが聞こえてきた.

みんな, 徳丸本安全なウェブサイトの作り方 を読んで, 安全なWebアプリケーションを作れるようになろうねとのこと.

 アクセス制御系の話

認可制御の不備についての座学. 認可制御の不備は重大な脅威に直結するので気をつけましょうねというお話が, 不備のある制御の例などを交えてなされた.

とてもわかりやすかったので, 個人的にはアクセス制御系の話も手を動かしながら学べればより楽しいかな, と思った.

まとめ

とても丁寧に体系立てて構成されていたトレーニングだと感じた. 独学で勉強したり手元で動かしている初心者学生だし...と思って参加したが,

対象:脆弱性診断作業を行ってみたい/覚えたい初心者

脆弱性診断 初心者ハンズオントレーニング - connpass

の通り, レベル感としては, ローカルプロキシに触ったことがほぼない・診断は普段全くしないけれど興味がある人向けなのかな, と感じた. 普段から趣味でBadstoreやOWASP BWAなんかで遊んでるよという人は, 想定されている対象とは少し外れているのかなという感触.

# もう一段階上のレベルの勉強会が開催されることになったら, 是非参加したい!!

次の開催も検討中とのことなので, 興味があるけれどレベル感に不安が...ということを考えて躊躇っていた人は, やる気だけ持ってとりあえず参加してみれば優しい運営の皆様に助けてもらえると思うのでぜひ. (ちなみに, Webなんて全然わからん! 不安だ! という人は, HTTPの通信のパケットの構成やSQLinjectionやXSSについてさらっと勉強していくと, ハンズオンにもスムーズに入れるのではないかと思う. )

運営の皆様, ありがとうございました!!