WEST-SEC セキュリティ勉強会#2（ハンズオン）

May

12
WEST-SEC セキュリティ勉強会#2（ハンズオン）
セキュリティの実践的な知識を学ぶハンズオン形式のセキュリティ勉強会を実施します。

Organizing : T-kasu

Hashtag ：#WEST-SEC

Registration info	通常枠 Free FCFS 135/200

Description

WEST-SEC セキュリティ勉強会#2

2023年1月24日に開催した第一回のセキュリティ基礎勉強会は、約250名の申し込みがあり、多くの方にご参加いただきました。アンケートでは、以下のようにありがたい言葉をいただきました。
「無償でこのような勉強会を開催していただきありがとうございます！」
「今までで参加した中で一番ためになった勉強会でした」
「実際にすぐ触れるようになっていて、自分での環境構築が不要で、よかったです」
「次も開催してほしい」
「周りのメンバーにも勧めます」
「お金をとってもいいと思います」

今回、2回目を開催します。
内容は、1回目にご参加の方も、初めての方も、皆さんが楽しめるような内容にしたいと考えております。
1回目の前回とは、一部重複は避けられないですが、基本的には内容を変えます。難易度（レベル）は若干上がります。

勉強会の目的

勉強会の目的は、CTFを解くための知識を身に着けることだけではありません。
我々のCTFの目的は、社会人および情報システム部において必要なセキュリティ知識を高めることです。
よって、この勉強会もWEST-SEC CTFと目的が同じで、社会で必要なセキュリティ知識を高めることです。
なので、CTFを解くための過去問を紹介したり、テクニックの紹介は一切ありません。
そういう意味では、一般的なセキュリティ勉強会と考えてもらった方が近いと思います。
とはいえ、この勉強会を通じて、WEST-SEC CTFの理解につながることは間違いありません。

前提知識

以下、知識がなくても参加できますが、知っている前提で講義を進めます。
・SSHでサーバに接続できる。
・ITパスポートに登場する基本的な用語を、半分くらい知っている。
・特にITパスポートに登場するセキュリティの用語を概ね知っている（または当日までにさらっと勉強する）
用語例としては、マルウェア、バックドア、セキュリティホール、脆弱性、ブルートフォース攻撃、クロスサイトスクリプティング、ディレクトリトラバーサル、ゼロデイ攻撃、セッションハイジャック、WAF、UTMなど。
・2回目の今回の演習では関係ないですが、可能であれば、PKI（公開鍵、秘密鍵、ディジタル署名、証明書）の基礎知識があるとありがたいです。
以下、読んでほしいです。（5分くらいで読めます）
https://www.nrapki.jp/client-certificate/about-pki/

【内容】

・現在、カリキュラムを検討中なので、内容は変更すると思います。
・皆さんのPCにプログラムの実行環境やLinuxサーバを構築してもらえるといいのですが、難しい人もいると思います。よって、皆さんには共通のAWS環境をお渡しし、8割くらいの内容は実機操作してもらえるように準備します。
・資料は配布しません。あらかじめご理解ください。
以下は2回目のカリキュラムです。

1.Linuxの基本操作　30分

(1)viエディタ
　・基本操作の復習（触りだけ）
(2)nginx によるWebサーバ構築
　・（インストールはこちらでやるので）インストールされていること、バージョンの確認、起動されているかのstatus確認
　・Webページの作成、該当ページへのアクセス
　・設定ファイル（/etc/nginx/nginx.conf）の確認。　待ち受けポートや、コンテンツファイルやログのpath
　・ログの確認 /var/log/nginx/access.log 　grepで自分のIPアドレスからの接続を確認。user-agent含めて
(3)ユーザ関連の確認コマンド
　・ログイン成功/ログイン失敗
　/var/log/secure ,last ,lastb
　・ログインしているユーザの一覧
　who
(4)コンテナの設定
　・docekrを動かしてみる。

2.プログラム　20分

(1)PHP
　・PHPによる簡単なプログラム作成
　・入力フォームの作成
　・GETメソッドとPOSTメソッドの違いの確認
(2)OSコマンドインジェクション
　・PHPで簡単なOSコマンドインジェクションのサイトを作る
　・OSコマンドインジェクションの実演
　・ログの確認

3.ネットワーク　20分

(1)nmapによるポートスキャン
　・ポートスキャンの実行
　・ポートスキャンログの確認

(2)DNSサーバ
　・コンテナ上でDNSサーバの構築
　・DNSサーバのセキュリティ設定

4.Webアプリケーションなどを予定

※カリキュラム案を検討中

5.解析などを予定

※ヒープオーバーフローの実践などを予定。詳細カリキュラム案は検討中

参加対象者

特に制限はありませんが、以下の方を意識しております。
・情報システム部門でセキュリティ対策の基礎を改めて再確認したい方
・セキュリティに興味があり、セキュリティ対策をもっと深く知りたい方　（※学生さん大歓迎）
・この研修で得た知識をセキュリティ対策のみに活かし、悪用しない方
→つまり、非エンジニアの方、セキュリティの初学者、大歓迎です！

必要なもの

・ブラウザ（Google Chromeなど。IEやEdgeは非推奨）が入ったインターネットに接続できるPC。スマートフォンからの参加も可能ですが、SSH接続やログ分析などもしていただくため、一部の競技の参加が厳しいと思います。
・Web会議ツール（CiscoWebEXやZOOMなど）の環境。
・TeraTermなどのSSHに接続するツール（無い場合は一部の問題を解くことができませんが、チーム戦なので画面共有等でお互いにフォローしていただくという手もあります。）
・パケットキャプチャのソフトであるWireshark（　〃　）

お願い

・今後のカリキュラムや運営の向上のためにアンケートをお願いします。
・当日の感想をブログやfacebook、TwitterなどのSNSに投稿願います。投稿してもらえると、とてもうれしいです。

当日の流れ

（１）タイムスケジュール（予定）

項番	時刻	内容
Program0	18:55~	Web会議の部屋を空けます。
Program1	19:00 ~ 21:00	講義アンケート記入
Program2	終了後	当日の感想をブログやfacebook、TwitterなどのSNSに投稿願います。