作者簡介
上野宣(UENO・SEN)
株式會社Tricorder 代表取締役
曾於奈良尖端科學技術研究所大學專攻資訊安全,經歷過電子商務開發企業於東京證交所上市,2006年設立株式會社Tricorder。向企業及政府提供網路安全教育與訓練服務、平台/網頁應用程式之漏洞診斷服務。
身兼OWASP Japan分會負責人、資訊安全專門雜誌《ScanNetSecurity》編輯長、Hardening專案執行委員、JNSA ISOG-J WG1負責人、SECCON執行委員、安全集中營首席講師、獨立行政法人資訊處理推廣機構 安全中心研究員等職務。
《基礎篇》
第1|何謂漏洞診斷
說明何謂漏洞診斷。我們將針對網路及網頁應用程式的漏洞為何,以及如何去找出其漏洞的手法。
第2|診斷所需的HTTP基礎知識
針對網路上最為廣泛應用的通訊協定:HTTP進行解說。
我們將學習到名為HTTP的通訊協定之機制,以及以傳送訊息進行溝通之結構等。
第3|網頁應用程式的漏洞
針對網頁應用程式的漏洞進行解說。說明網頁應用程式遭受攻擊的方式,以及有哪些攻擊的種類。
第4|漏洞診斷的流程
說明網頁應用程式漏洞診斷的流程。我們將說明在實施診斷前需要做什麼準備,以及該如何進行漏洞診斷、其實施步驟為何。
第5|實作練習環境與其準備
針對漏洞診斷所需之診斷工具、網頁瀏覽器、實作練習環境的設定等進行解說。
《實作篇》
第6|以自動診斷工具實施漏洞診斷
介紹自動診斷工具「OWASP ZAP。我們將學習到如何使用自動診斷工具實施漏洞診斷之基礎程序、OWASP ZAP的基本操作、漏洞診斷的實施方法等。
第7|以手動診斷輔助工具實施漏洞診斷
介紹手動診斷輔助工具「Burp Suite。我們將學習到使用Burp Suite來實施漏洞診斷的步驟、漏洞診斷時的判斷標準、診斷清單的製作方法、Burp Suite 的基本操作、各種工具的使用方法、漏洞診斷的實施方法等。
第8|診斷報告書的製作
說明漏洞診斷實施後結果來製作、彙整診斷報告書之中,所該記載事項為何及各項漏洞的報告方式、風險評估的評比方式等進行解說。
第9|相關法規與準則
針對漏洞診斷相關法律、診斷時的規則及診斷結果的處置方式、安全相關標準與準則等來進行解說。
附錄「實作練習環境的設定(Oracle VM VirtualBox)
介紹使用可作為實作練習環境之免費軟體Oracle VM VirtualBox的設定方法。