ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 542

Web App Penetration Testing and Ethical Hacking

Penetration Testing and Ethical Hacking

English
日程

2024年10月21日(月)~2024年10月26日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GWAPT
講師
Aron Cure|アロン キュア
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,350,000 円(税込み 1,485,000 円)

申込締切日
早期割引価格:2024年9月6日(金)
通常価格:2024年10月11日(金)
オプション
  • GIAC試験  160,000円(税込み 176,000円)
  • OnDemand  160,000円(税込み 176,000円)
  • NetWars Continuous  270,000円(税込み 297,000円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC542 PC設定詳細

重要 この説明書に従って設定したシステムを持参してください。
このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実習に十分に参加することができません。したがって、指定された要件をすべて満たすシステムでご参加ください。

授業の前にシステムをバックアップしておくことが重要です。また、機密データが保存されているシステムは持ち込まないことを強く推奨します。SANSは、あなたのシステムやデータについて責任を負いません。


ノートPCのハードウェア要件

  • CPU: 64ビットIntel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは、64ビット、2.0GHz以上のプロセッサーが必須。

  • 重要: Appleシリコンを搭載したデバイスは必要な仮想化を行うことができないため、このコースでは一切使用できません。

  • 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。

  • 8GB以上のRAMが必要です。

  • 50GB以上のストレージ空き容量が必要です。
    利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイント保護ソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。

  • ワイヤレスネットワーク(802.11規格)が必要です。教室では有線のインターネット接続はできません。


ノートPCのソフトウェア要件(下記を事前にインストールしてください)

  • ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • 正しいドライバとパッチがインストールされていることを確認するため、授業前にホストOSを完全にアップデートしてください。
  • Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • 退出トラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)をクラス開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。

 

Live Onlineでのコースメディアの事前準備、テキストについて

コースのメディアがダウンロード版で配信されるようになりました。多くは40~50GB、中には100GBを超えるものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスのイベントに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順の詳細が記載されています。これらの手順を完了するには、30分以上かかる場合があります。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。

SEC542 コース概要

ウェブアプリケーションは、現代のあらゆる組織において重要な役割を果たしています。しかし、組織がそのウェブアプリケーショ ンを適切にテストし、保護しなければ、敵対者はこれらのアプリケーションを侵害し、ビジネス機能に損害を与え、データを盗むこと ができます。残念なことに、多くの組織は、Webアプリケーション・セキュリティ・スキャナがシステムの欠陥を確実に発見してくれると誤解しています。 SEC542は、犯罪者よりも早く、専門的なペネトレーションテストによって脆弱性を発見しその対策がとれることを目指します。単なるプッシュボタン式のツールによる侵入テストでは限界があることが十分認識できます。

お客様は、Webアプリケーションを通じて重要な機能やデータアクセスが提供されることを期待するようになりましたが、それにも増して、組織内で利用される業務アプリケーションもWebアプリケーション化しているのが一般的です。残念ながら、このような業務Webアプリケーションには、いわゆる「パッチ火曜日(Patch Tuesday)」が適用できないことが多いため、Webアプリケーションの欠陥が重大な情報漏えいや不正侵害の温床になり続けています。攻撃者は、外部公開用のWebアプリケーションと同様に、高い情報価値を持った内部の業務アプリケーションもターゲットにしています。

本コースではWebアプリケーションのセキュリティを評価し、発見された脆弱性を攻撃者が悪用した場合のビジネスへの影響を説明することができるようになります。最新のサイバー防衛では、Webアプリケーションのセキュリティ上の課題を現実的かつ徹底的に理解していなければ太刀打ちできません。Webに対するいくつかのハッキング技術を手軽に学ぶことは出来ますが、Webアプリケーションの侵入テストではより深くかつ体系化された手法が不可欠です。本コースでは初心者が専門的な侵入テスト担当者になるための情報とスキルを提供し、基礎的なギャップを全て埋めることができます。

このコースでは、一般的なWebアプリケーションの不具合を理解し、ビジネスへの潜在的な影響を示すための方法を理解します。その過程で、受講生はフィールドテストされた繰り返し可能なプロセスに従って、一貫して欠陥を見つけます。多くの情報セキュリティ専門家は、ビジネス用語を使ってわかりやすくリスクを説明するのに苦労します。一方で、組織がリスクを真剣に受け止め、適切な対策を講じなければ、そうしたハッキングをする価値はほとんどありません。SEC542の目標は、ペネトレーションテストによって組織のセキュリティを向上させることであり、ハッキングの技術を誇示することではありません。このコースでは、Webアプリケーションの脆弱性が実際にどのような影響を与えるか、ハッキングだけではなく、適切に文書化・レポートできるように受講生を導きます。。

SEC542は、高品質なコースコンテンツに加えて、実践的な演習に強く焦点を当てています。本コースでは30以上の実践的なラボを利用してWebアプリケーションの侵入技術を体験するほか、SANS Netwarsのサイバーレンジを利用したCTFトーナメントを実施します。このCTFでは受講者をいくつかのチームに分け、コースを通して習得した侵入テスト技術を駆使します。

ビジネス上の課題:

  • 再現性のある方法を学び、価値の高い侵入テストを実現する
  • Web アプリケーションの主な脆弱性を発見し、それを利用する
  • Web アプリケーションの脆弱性がもたらす潜在的な影響について説明できる
  • 全体的なセキュリティ体制における Web アプリケーショ ンセキュリティの重要性を理解する
  • 主要な Web アプリケーション攻撃ツールをより効率的に使用する
  • Web アプリケーション侵入テスト報告書を作成する

本講座受講にあたっての前提

  • Linuxのコマンドラインに関する基本的な知識があること

SEC542の前提となるコース

  • SEC504: Hacker Tools, Techniques, and Incident Handling
  • SEC560: Enterprise Penetration Testing
  • SEC565: Red Team Operations and Adversary Emulation

SEC542のフォローアップに適したコース

  • SEC575: Mobile Device Security and Ethical Hacking
  • SEC588: Cloud Penetration Testing

受講対象者

  • ペネトレーションテスター/エシカルハッカー(侵入テストや脆弱性診断を実施しているセキュリティコンサルタントの方)
  • 一般的なセキュリティ実務対応者
  • Webアプリケーション開発者
  • Webサイトデザイナー、アーキテクト、開発者

※SEC542は、GIAC(GWAPT)認定試験対象コースです。

GIAC Web Application Penetration Tester

GWAPT認定は、侵入テストとWebアプリケーションセキュリティ問題の徹底的な理解を通じて、組織の安全性を向上させる実務者の能力を証明するものです。GWAPT認定者は、Webアプリケーションの悪用と侵入テストの方法論に関する知識を実証しています。

  • ウェブアプリケーションの概要、認証攻撃、設定テスト
  • ウェブアプリケーションセッション管理、SQLインジェクション攻撃、テストツール
  • クロスサイトリクエストフォージェリ、スクリプティング、クライアントインジェクション攻撃、偵察、マッピング

講義内容の一例

  • プロキシによる通信傍受
    • ZAP (Zed Attack Proxy)
    • BurpSuite Professional
  • 共通の脆弱性
    • SSL/TLS ミスコンフィグレーション
    • ユーザーネーム収集
    • 認証システムの不備 (オブジェクトの直接参照)
    • コマンドインジェクション
    • SQLインジェクション
    • クロスサイトスクリプティング(XSS)
    • サーバーサイドリクエストフォージェリー (SSRF)
    • セキュアでないデシリアライゼーション
    • XMLエクスターナルエンティティ(XXE)
    • ローカル・リモートファイルインクルード(LFI/RFI)
    • クロスサイトリクエストフォージェリ(CSRF)
    • XML外部エンティティ(XXE)
    • ロジックの欠陥
  • 情報収集
    • ターゲット・プロファイリング
    • アプリケーション・ディスカバリー
    • 仮想ホストの検出
    • 脆弱性スキャン
  • 認証と認可
  • セッション管理の欠陥
  • 自動化されたエクスプロイト

コース開発者より

企業内で使われているWebアプリケーション脆弱性スキャナに意気消沈し、SEC542を参加される受講者は多いものです。ビジネスの側面からスキャンを行う立場にいる受講生たちは、1,000ページ以上のfalse-positiveが散りばめられた出力結果に立ち会うことさえあります。SEC542を教えていて最もやりがいを感じるのは、同じ受講生たちが、1週間で学んだスキルを自分の担当するアプリケーションに応用しようとする熱意を目の当たりにすることです。受講生は、押しボタン式のペネトレーションテストのアプローチではうまくいかないことを本質的に理解している一方、違ったやりかたでの評価を適切かつ効率的に行うための知識・スキルが不足しています。SEC542は、こうした問題を解決します。受講生は、主要なWebアプリケーションの欠陥についての深い知識を身につけ、それらを発見して悪用する方法と、それらの発見結果をインパクトのある方法で提示する方法を身につけて、このコースを完了することができます。
- Eric ConradTimothy McKenzieBojan Zdrnja

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

Introduction and Information Gathering

概要

攻撃者の観点を理解することは、Webアプリケーション・ペネトレーションテストの成功の鍵です。1日目は、プロトコル、処理言語、クライアント、サーバのアーキテクチャを含むWeb技術を、攻撃者の視点に立って綿密に学ぶことから始まります。特に、バーチャルホストの発見や分析を含むDNS偵察のテクニックや、HTTPレスポンスやクッキーのセキュリティコントロール、HTTPメソッドなど、HTTPプロトコルのニュアンスの理解に重点を置いています。

次に、質の高い評価の提供を確実にするためにOWASPが推進している方法論と、ペネトレーションテスターのツールキットに必要なものを見ていきます。最も重要なツールであるプロキシツールは、OWASP の Zed Attack Proxy (ZAP) と BurpSuite Professional の初期設定手順を実行することで紹介されます。この2つのツールは、SSLトラフィックのプロキシや脆弱なWebアプリケーションの探索に広く使用されています。

セクション1では、セキュア・ソケット・レイヤー(SSL)設定の複雑さについても掘り下げ、一般的な弱点を強調します。また、コンテンツの発見やウェブ・アプリケーションのスパイダー/クロールのために、cURL、nmap、testssl.sh などのツールを活用しながら、ターゲットの発見とプロファイリングのプロセスを学習します。実習ラボでは、潜在的な設定の欠陥を特定し、各サーバーの包括的なプロファイルを構築するための偵察の実践的な経験を提供します。

トピックス

  • 侵入テスト担当者の観点から見たWebの概要
  • Webアプリケーション評価メソッド
  • 侵入テスト担当者のためのツールキット
  • 透過プロキシ
  • BurpSuite ProZed Attack ProxyによるSSLのプロキシ処理
  • DNS偵察
  • 仮想ホストの探索 
  • Open source intelligence (OSINT)
  • HTTPプロトコル
    • HTTP レスポンスのセキュリティ管理
    • クッキーのセキュリティ管理
    • HTTP メソッド
  • Secure Sockets Layer(SSL)の設定と弱点
  • ターゲットの発見とプロファイリング
  • 構成の欠陥

Fuzzing, Scanning, Authentication, and Session Testing

概要

このセクションでは、情報収集プロセスを継続し、ファジング、脆弱性スキャン、強制ブラウジングのような 不可欠なテクニックを紹介します。これらの手法は、前のセクションで説明した最初のステップを補完するものであり、ウェブアプリケーションの脆弱性を効果的に分析するために必要な包括的な詳細を取得するために極めて重要です。侵入テストプロセスにおけるこの段階の重要性を強調するために、このコースには多くの実習が含まれています。これらの実習は、傍受プロキシや ffuf のようなコマンドラインユーティリティのような必須ツールの習熟度を高め、これらの高度なテスト手法の理論と実践の両方を包括的に理解できるように設計されています。

脆弱性のスキャンと強制的なブラウジングが進むにつれて、コースは次にウェブアプリケーションの評価の重要な要素である認証、認可、セッション管理を取り上げます。ベーシック、ダイジェスト、フォーム、Windows 統合、SAML、OAuth など、さまざまな認証メカニズムを紹介します。コースでは、これらの技術の仕組みを説明するだけでなく、それらに関連するさまざまな攻撃ベクトルについても掘り下げます。実践的な演習では、ユーザー名の列挙、パスワードの推測、傍受プロキシとコマンドライン・ファザーの両方を活用することなどが含まれます。さらに、Burp Suiteのシーケンサー機能を利用した専用ラボでは、セッション・セキュリティを評価する上で重要なスキルである、予測可能なセッション識別子を特定する実習を行います。

トピックス

  • ファジング
  • 情報漏えい
  • Burp Professionalの脆弱性スキャン
  • コンテンツの発見 強制ブラウジング
  • ZAPとffufによるリンクされていないコンテンツの発見
  • ウェブ認証メカニズム
  • Federated Identity and Access Protocols (SAMLとOAuth)
  • JWTとFlaskセッションクッキー
  • ユーザー名の採取とパスワードの推測
  • セッション管理と攻撃
  • バープ・シーケンサー

Injection

概要

コースのセクション3では、認証と認可のバイパスについて掘り下げ、これらの脆弱性がいかに機密データやビジネス機能を攻撃者にさらすかを説明します。最後に、受講生がMutillidaeの認証と認可の欠陥を悪用する実習を行い、このような弱点を特定し活用する実践的な経験を提供します。

コースのこの時点では、脆弱性スキャンの結果が利用可能であると考えます。受講生は一般的な脆弱性を扱い、手作業で人の介入を必要とする脆弱性を調査する。このフェーズでは、ターゲットプロファイリング、スパイダリング、強制ブラウジングなどの以前の演習で得た知識を活用し、 アプリケーション内の脆弱性を発見し検証する能力を高めます。

特に傍受プロキシを使用した、脆弱性発見のための手動テスト技術に重点を置きます。このコースでは、コマンド・インジェクション、ローカル・ファイル・インクルージョン(LFI)、リモート・ファイル・インクルージョン(RFI)を含む、様々な一般的なインジェクションの欠陥を紹介し、それぞれを実践的な適用と概念の強化のためのラボ演習によって補完します。

さらに、このコースでは、オブジェクト指向プログラミング言語における安全でないデシリアライゼーションという複雑なトピックも扱います。付属の実習を通して、学生はJavaの安全でないデシリアライゼーションの脆弱性を悪用して、脆弱なウェブ・アプリケーションから秘密ファイルを取り出し、脆弱性の連鎖の複雑さと影響を実証します。

このセクションのかなりの部分は、SQL インジェクションに費やされています。これには、従来の SQL インジェクション、ブラインド SQL インジェクション、エラーベースの SQL インジェクション、およびこれらの脆弱性の悪用が含まれます。受講生は、ウェブ・アプリケーション侵入テストのこの重要な分野をマスターするために、sqlmap のような専門ツールの使用を含め、理論的な側面と実践的な応用の両方を学びます。

トピックス

  • 認証と認可のバイパス
  • コマンドインジェクション: ブラインドと非ブラインド
  • ディレクトリトラバーサル
  • ローカルファイルインクルード(LFI)
  • リモートファイルインクルード(RFI)
  • 安全ではないデシリアライゼーション
  • SQLインジェクション
  • ブラインドSQLインジェクション
  • エラーメッセージを悪用したSQLインジェクション
  • SQLインジェクションを悪用する
  • SQLインジェクションツール:sqlmap

XXS、SSRF、およびXXE

概要

3日目にXXEの学習とその脆弱性について学んだ後、4日目はReflected XX, Stored XSS, DOM Baseなどのクロスサイトスクリプティングの脆弱性悪用について確認を続けていきます。
演習では手動による検知方法を学び、最新のWebアプリケーションのクライアント側のJavaScriptを分析する手段として、ブラウザの開発者用ツールを紹介します。

4日目の講義では、様々な演習で使用されているBrowser Exploitation Framework (BeEF) についても紹介します。AJAXについての詳細な説明をしつつ、侵入テスターが攻撃可能面を拡大するための方法を探ります。また、コースの前半ですでに詳細に説明した、他の脆弱性がAJAXに与える影響についても分析します。

PostmanやSOAPUIのようなツールの使用は、REST(Representational State Transfer)とSOAP(Simple Object Access Protocol)APIでの作業に関してレビューされ、これらのウェブサービスに関する洞察を提供する。セクション4は、SSRF(サーバサイドリクエストフォージェリ)とXXE(XML外部エンティティ)の詳細な考察で締めくくられる。特に SSRF ラボでは、複数の脆弱性の連鎖を示し、コースの前半で学んだ概念とテクニックを統合しています。
 
トピックス
  • クロスサイトスクリプティング(XSS)
  • ブラウザ開発フレームワーク(BeEF)
  • AJAX
  • XMLとJSON
  • ドキュメントオブジェクトモデル(DOM)
  • API攻撃
  • データ攻撃
  • RESTとSOAP
  • プロトタイプ汚染
  • サーバーサイドリクエストフォージェリー (SSRF)
  • XML外部実体攻撃 (XXE)

CSRF, Logic Flaws and Advanced Tools

5日目は、現実的なアプリケーションに対して実際の攻撃を開始し、アプリケーション内における足場を広げて、その足場をきっかけにして対象のネットワークにまで攻撃を拡張します。ペネトレーションテスト担当者として、以前に発見された脆弱性を活用し、特にさらなるアクセス権を獲得する方法にフォーカスし、Webアプリケーション侵入テストの周期的な特性にハイライトします。

このセクションでは、最近のウェブアプリケーションは、しばしば、十分に監視されておらず、攻撃者が脆弱性を発見されずに悪用する機会を提供していることを認めます。これに対処するために、このコースでは、ロギングの設定と基本的なインシデント対応テストについて簡単に調べ、セキュリ ティイベントを適切に監視することの重要性を強調しています。

ラージ・ランゲージ・モデル(LLM)に関する OWASP トップ 10 に焦点を当てた議論では、LLM 技術を利用したウェブ・アプリケーションにおける一般的な脆弱性についての洞察を提供します。

エクスプロイトの段階では、ZAPやBurpSuite Proなどのツールの使用をさらに拡張し、加えてsqlmapやMetasploitも使用し、様々なWebアプリケーションに対するエクスプロイトを行います。主にSQLインジェクションやクロスサイト・リクエスト・フォージェリ攻撃などを実行します。講義では、これらの欠陥を悪用して、データの窃盗、セッションの乗っ取り、ウェブサイトの改ざん、シェルの取得、接続されたネットワークに対するピボットなどを行います。様々な形での悪用を通じて、受講生はこれらの欠陥が組織に与える潜在的なビジネス上の影響を深く理解することができます。

また、ホワイトハッカーの間で人気の高いオープンソースの脆弱性スキャナツールNucleiを、NucleiMetasploitを組み合わせたラボで紹介します。

コース全体としては、Webアプリケーションの脆弱性がどのように機能して、どのように悪用されるかを理解することを目的としていますが、5日目にはBurpSuite Proのアクティブ・スキャナー・コンポーネントも紹介します。

セクション 5 の最後の実習では、Metasploit モジュールが確認された脆弱性の悪用に失敗するという、挑戦的なシナリオを提示します。学生は、欠陥を調査し、手動でそれを悪用し、Metasploit モジュールを修正してシェルを成功させることを学び、自動化ツールを超えるスキルを身につけます。

最後に、ペネトレーションテストの評価の準備の仕方や、レポート作成などの評価後の重要な活動を復習して、この日の内容を総括します。

トピック

  • クロスサイト・リクエスト・フォージェリ(CSRF)
  • ロジックへの攻撃
  • Webアプリケーションの侵入テスト用のPython
  • WPScan
  • ExpolitDB
  • BurpSuite Pro スキャナー
  • Nuclei
  • Metasploit
  • ツールが失敗した時
  • ペネトレーションテスト
    ・準備
    ・評価プロセスとレポート作成

Capture the Flag

6日目には、チームを組んで、Webアプリケーションに対するペネトレーションテスト・トーナメントを行います。この、NetWarsで組まれたCapture the Flagの演習では、新しく身に付けたスキルや、これまでに持っていたスキルを活用して、質問に答えたり、ミッションを完了させたり、データを抽出したり、コースを通して得られたスキルを試す機会を提供します。チャレンジスタイルと統合されたヒントシステムにより、さまざまなスキルレベルの受講生が同時にゲーム環境を楽しむことができ、クラスで学んだスキルを固めることができます。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。