お知らせ connpassではさらなる価値のあるデータを提供するため、2024年5月23日(木)を以ちましてイベントサーチAPIの無料での提供の廃止を決定いたしました。
2024年5月23日(木)以降より開始予定の「connpass 有料API」の料金プランにつきましてはこちらをご覧ください。

お知らせ connpassをご利用いただく全ユーザーにおいて健全で円滑なイベントの開催や参加いただけるよう、イベント参加者向け・イベント管理者向けのガイドラインページを公開しました。内容をご理解の上、イベント内での違反行為に対応する参考としていただきますようお願いいたします。

このエントリーをはてなブックマークに追加

Oct

31

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで

Webセキュリティをハンズオン形式で、基礎から徹底理解!

Organizing : T-kasu

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで
Hashtag :#WEST-SEC
Registration info

通常枠

Free

FCFS
287/280

Attendees
komesyou
muno
noach
harukima
18Umaru
JJC20
tetri_CAN
17号
MakikoTakakura
sat55go
View Attendee List
Start Date
2023/10/31(Tue) 19:00 ~ 21:00
Registration Period

2023/08/28(Mon) 12:30 〜
2023/10/30(Mon) 12:00まで

Location

オンライン

オンライン

参加者への情報
(参加者と発表者のみに公開されます)

Description

参加当日について

・当日は、サーバへのログインなどで、認証を強化する予定です。当日のイベントが始まってからも、Connpassの事務局からのメールが随時確認できるようにしておいてください。
・サーバ等へのログインは、ConnpassのIDを利用する予定にしております。ご自身のIDを把握してご参加ください。

WEST-SEC セキュリティ勉強会#3

好評をいただいていますWEST-SECのセキュリティ基礎勉強会ですが、今回は、テーマをWebセキュリティに絞って開催します。Webセキュリティをハンズオン形式で、基礎から徹底理解しましょう!
これまでと同様に、Linuxの環境を用意しますので、皆さんにはSSHでログインし、実際にPHPのプログラムを操作していただき、攻撃を体験してもらいます。(Linuxに関する知識は、viエディタが最低限使えれば、何とかなります。ソースコードは基本的には提供しますので、部分的な改修やコピペで対応できます)


勉強会の目的

WEST-SECの目的は、学生、社会人の方に、仕事において必要なセキュリティ知識を高めることです。特に、企業の情報システム部に所属している方を意識しています。
ですから、この勉強会の目的は、CTFの問題をを解くための知識を身に着けることではありません。
なので、CTFを解くための過去問を紹介したり、テクニックの紹介は基本的にはありません。
そういう意味では、一般的なセキュリティ勉強会と考えてもらった方が近いと思います。
とはいえ、この勉強会を通じて、 CTFの理解にもつながることは間違いありません。
また、WEST-SECでは、セキュリティ初心者にもすそ野を広げることが、WEST-SECの大きな目的の一つです。セキュリティ初学者も理解していただけるように、わかりやすい勉強会にしたいと思います。

前提知識

以下、知識がなくても参加できますが、知っている前提で講義を進めます。
・SSHでサーバに接続できる。
・Linuxのviエディタを操作できる
・ITパスポートに登場する基本的な用語を、半分くらい知っている。
・特にITパスポートに登場するセキュリティの用語を概ね知っている(または当日までにさらっと勉強する)
・今回のカリキュラムの内容を後述しますので、その言葉の意味は、簡単に理解しておいてください。

【内容】

・現在、カリキュラムを検討中なので、内容は変更すると思います。
・前回やった内容の一部を以下に記載しています。どんな内容か、イメージをつかんでいただけると思います。
https://west-sec.com/linux 
・皆さんのPCにプログラムの実行環境やLinuxサーバを構築してもらえるといいのですが、難しい人もいると思います。よって、皆さんには共通のAWS環境をお渡しし、8割くらいの内容は実機操作してもらえるように準備します。
資料は配布しません。あらかじめご理解ください。
以下はカリキュラム案です。
ただ、内容が濃密なので、2回に分けるかも。2回に分ける場合、1回目は基礎知識と、攻撃手法を半分くらいやります。

1.基礎知識 担当:T-kasu  30分

・Linux操作の基礎(5分程度で)
・Webサーバの構築
・HTTPの基本とHTTPヘッダ
・HTTP通信をWiresharkでキャプチャ
・エンコード
・POSTとGETメソッド

2.攻撃手法と対策(1) 担当:T-kasu 40分

ここからは、実際にPHP等でソースコードを書いてもらい、攻撃を体験してもらいます。
 ※時間が許す限り進めます。
・OSコマンドインジェクション
・ディレクトリトラバーサル
(休憩:10分)
・Cookieとセッション管理について
・セッションハイジャック
・Webshell
・クリックジャッキング

3.攻撃手法と対策(2) 担当:SATOKI 40分

・クロスサイトリクエストフォージェリ
・サーバサイドリクエストフォージェリ(Server Side Request Forgeris)
・オープンリダイレクトの脆弱性

※※以下は、時間の関係で、今回は実施無しの予定
・メールヘッダインジェクション
・SQLインジェクション
・HTTPヘッダインジェクション
・クロスサイトスクリプティング
・DOM型のクロスサイトスクリプティング
・ファイル探索

4.FortiGateのIPSでの防御

上記の攻撃を、FortiGateのIPS機能でどこまで防御できるかを確認

(アンケート記載 5分)

参加対象者

特に制限はありませんが、以下の方を意識しております。
・情報システム部門でセキュリティ対策の基礎を改めて再確認したい方
・セキュリティに興味があり、セキュリティ対策をもっと深く知りたい方 (※学生さん大歓迎)
・この研修で得た知識をセキュリティ対策のみに活かし、悪用しない方
→つまり、非エンジニアの方、セキュリティの初学者、大歓迎です!

必要なもの

・ブラウザ(Google Chromeなど。IEやEdgeは非推奨)が入ったインターネットに接続できるPC。
・Web会議ツール(CiscoWebEXやZOOMなど)の環境。
・TeraTermなどのSSHに接続するツール

お願い

・今後のカリキュラムや運営の向上のためにアンケートをお願いします。
当日の感想をブログやfacebook、TwitterなどのSNSに投稿願います。投稿してもらえると、とてもうれしいです。

当日の流れ

(1)タイムスケジュール(予定)

項番 時刻 内容
Program0 18:55~  Web会議の部屋を空けます。
Program1 19:00 ~ 21:00 t-kasuからの講義、皆さんはハンズオンで実機演習
アンケート記入
Program2 終了後 当日の感想をブログやfacebook、TwitterなどのSNSに投稿願います。

過去のWEST-SEC開催履歴

項番 イベント 補足
0 2019/11/20 大阪の某コンピュータ専門学校様向けCTF WEST-SECの先駆けとして、学生様約30名様向けに初級者向けCTFを実施
0 2019/12/13 近畿大学工学部様向けセキュリティセミナー WEST-SECの先駆けとして、セキュリティセミナーの中で、学生・職員様約80名様向けに簡易なCTFを実施
1 2020/8/16 WEST-SEC#1 WEST-SECの記念すべき1回目
2 2020/9/16 某大学様向けCTF セキュリティに興味をもつ学生と社会人向け
3 2020/10/27
2020/11/5
WEST-SEC#2 参加者多数のため2回に分けて実施
4 2020/10/29 愛知総合工科高等学校様の学生向けにCTF授業#1 特別授業として講義させていただきました
5 2020/11/10 某企業のセキュリティエンジニア向け勉強会
6 2020/11/21 enPiT-Pro@九州大学 主に社会人の現役エンジニアのための 大学院レベルの教育プログラム。enPiTは、文部科学省の情報セキュリティプロ人材育成短期集中プログラム
7 2020/11/27 大阪府立大学様の教職員様向けCTFによるセキュリティの基礎勉強会 セキュリティに明るくない利用者であっても楽しめる問題に調整。セキュリティ啓発目的
8 2020/12/11 某企業のCSIRT向けCTF
9 2021/1/17 SECKUN 九州大学サイバーセキュリティセンターが受託した厚生労働省教育訓練プログラム開発事業
10 2021/1/19 WEST-SEC#3
11 2021/2/9 WEST-SEC for Student セキュリティに興味がある学生様向け
12 2021/2/16 某企業でのグローバルイベント 某企業の世界中のセキュリティエンジニア向け
13 2021/2/19 SecurityDay2021春 Tokyo 株式会社ナノオプト・メディアが主催する国内最大級のセキュリティイベント
14 2021/3/3 愛知総合工科高等学校様の学生様向けにCTF授業#2 高校生向けに問題をアレンジ
15 2021/3/23 WEST-SEC#4 フォレンジック解析に関する出題あり
16 2021/6/15 WEST-SEC#5 MicrosoftのADに関する出題あり
17 2021/8/31 WEST-SEC#6 ADのログ分析問題、WiresharkとWebの連携問題含
18 2021/9/22 大阪府立大学様 CTF2021 教職員様向けセキュリティ啓発目的
19 2021/10/7 愛知総合工科高等学校様の学生様向けにCTF授業#3 学生向けに、セキュリティの謎解き系問題を多数出題
20 2021/11/6 enpit-pro@九州大学 CTFに加え、FortiGateをチームに1台準備し、攻撃とその防御を実習 
21 2021/11/16 WEST-SEC#7 Splunkの実機操作問題、OSコマンドインジェクション問題を含む 
22 2021/12/上旬 某企業向けセキュリティ研修  
23 2021/12/17 日本CSIRT協議会(NCA)のAnnual ConferenceでのWEST- SEC CTF for NCA CSIRT向けに内容をアレンジ
24 2022/2/15 WEST-SEC#8(リバイバル版) WEST-SECの第1回~3回の問題から良問を、若干のアレンジを加えて出題
25 2022/2/22 Wani Hackase向けWEST-SEC 大阪大学 CTF サークル Wani HackaseさんにWEST-SECを実施
26 2022/4/21 Ir0nMaiden × WEST-SEC#9 8割解けるCTFを、Ir0nMaidenと合同で開催
27 2022/6/30 SEC道後版「WEST-SEC CTF」 8割解けるCTFを、SEC道後2022のプレイベントとして開催
28 2022/7/8 公立の高専様にて授業で実施 学生様向けの授業として実施
29 2022/9/15 第2回サイバーセキュリティ・スクール(CTF編) 関西サイバーセキュリティネットワークでの「WEST-SEC CTF」。産・学・官・個の連携イベントとして開催。
近畿総合通信局さんの報告書はこちら
30 2022/10/5 中部地区のセキュリティコミュニティCCSC向け CCSC(Chubu Cyber Security Community)は、中部地域の重要インフラ企業を中心に構成するセキュリティコミュニティ
31 2022/10/30 WEST-SEC#10 200人の募集枠で実施
32 2022/11/12 enpit-pro@九州大学での講義枠 enpit-proの講義枠として、WEST-SECを実施。FortiGateを実際に操作して、防御設定、ログ確認をしてもらう問題も提供。enPiTは、文部科学省の情報セキュリティプロ人材育成短期集中プログラム
33 2023/1/24 WEST-SEC セキュリティ勉強会 初めての事前勉強会。CTFを解くためのテクニックではなく、純粋なセキュリティ勉強会です
34 2023/1/31 WEST-SEC#11 1/24に事前勉強会を経て実施
35 2023/5/12 WEST-SEC セキュリティ勉強会#2(ハンズオン) 好評だったセキュリティ勉強会の2回目を実施
36 2023/6/10 西日本横断サイバーセキュリティグランプリ 近畿総合通信局さんはじめ、西日本エリアを5つ接続した、学生および若手社会人向けのセキュリティイベント。CTFやクイズを実施。500人以上のご参加、ありがとうございました。近畿総合通信局さんの開催実施報告はこちら
37 2022/6/29 SEC道後版「WEST-SEC CTF」 8割解けるCTFを、SEC道後2023のプレイベントとして開催
38 2023/7/21 公立の高専様にて授業で実施 学生様向けの授業として実施
39 2023/9/11 公立の大学様向けのセキュリティセミナー 大学の教職員様向けのセキュリティ啓発の講義とMentimeterを使った2択クイズを実施(予定)
40 2023/9/14 大阪・関西万博に向けた第2回意見交換会 大阪・関西万博に向けた第2回意見交換会でCTFを実施(予定)
41 2023/9/28 WEST-SEC 「8割解けるCTF」TH版 誰でも参加可能な8割解けるCTFを、若手メンバーがTH版として開催
42 2023/10/24 ICT-ISAC若手活躍SiG向けCTF ICT-ISAC若手活躍SiG向けにCTFを開催します。
42 2023/10/31 WEST-SEC セキュリティ勉強会#3 非常に人気が高いWEST-SECの勉強会です。3回目は、Webセキュリティをハンズオンで学ぶ勉強会です。
43 2023/12/16 学校対抗CTF大会 サイバーセキュリティに興味がある高校生、高専生、専門学校生、大学生または大学院生で、同じ学校に所属する2名から3名のメンバーでチームを組んで参加していただきます。
44 2024/1/20 enPiT-Pro@九州大学 主に社会人の現役エンジニアのための 大学院レベルの教育プログラム。enPiTは、文部科学省の情報セキュリティプロ人材育成短期集中プログラム

主催メンバー

・粕淵 卓(特技はUTMと情報処理技術者試験)
・谷口 貴之(OWASP Nagoya所属、CISSP)
・藤田 政博(セキュアプログラミングの作問担当)
※セキュリティに長年携わるメンバーです。

協力メンバー

・宮本 久仁男(アドバイザー,作問協力)
・T.Suzuki(作問協力)
・DustInDark(作問協力)
・中山 義康(チェック・ポイント,作問協力)
・市川 久哲(作問協力)

後援(過去にご協力いただいた組織含む)

関西サイバーセキュリティ・ネットワーク事務局
阪大CTFサークルWani Hackase
SEC道後2022
OWASP Nagoya Chapter
  Webアプリケーションのセキュリティを学びたい方には、OWASP top 10をオススメします。
Palo Alto Networks
エムオーテックス株式会社 (MOTEX Inc.)
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
株式会社マクニカ
Ir0nMaiden
※順不同

Media View all Media

If you add event media, up to 3 items will be shown here.

Feed

T-kasu

T-kasu published WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで.

08/21/2023 08:56

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで を公開しました!

Ended

2023/10/31(Tue)

19:00
21:00

Registration Period
2023/08/28(Mon) 12:30 〜
2023/10/30(Mon) 12:00

Location

オンライン

オンライン

オンライン

Attendees(280)

komesyou

komesyou

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

muno

muno

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

noach

noach

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

harukima

harukima

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

18Umaru

18Umaru

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

JJC20

JJC20

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

tetri_CAN

tetri_CAN

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

17号

17号

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

MakikoTakakura

MakikoTakakura

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

sat55go

sat55go

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

Attendees (280)

Waitlist (7)

shinwait

shinwait

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

kiiiiiii

kiiiiiii

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

EijiMachida

EijiMachida

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

KSaka

KSaka

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

shi-ma

shi-ma

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

shunkominato

shunkominato

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

ouisql

ouisql

WEST-SEC セキュリティ勉強会#3 Webセキュリティをハンズオンで に参加を申し込みました!

Waitlist (7)

Canceled (31)