アプリケーションとその脆弱性がより複雑になるにつれて、ペンテスターは先進的なターゲットに対応できなければなりません。 始めにアプリケーションのペンテスト練習からコースを開始します。 この練習問題をレビューした後、LFI/RFIやSQLiといった、サーバーベースの欠陥のための、より高度な技術を幾つか探求します。次に、XSSとXSRFを組み合わせた攻撃に挑戦します。そこでは、2つの脆弱性を活用してより大きな効果を得ることで、その欠陥を発見した後は、さらなる手段でこれらの欠陥を悪用するさまざまな方法で操作を行います。 この先進的なテクニックは、これらの脆弱性を高度でカスタムなエクスプロイトを通じて、ペンテスターが組織に明示する為の方法を見出すのに役立ちます。

演習

• ウォームアップ演習
• ファイルインクルージョンの利用
• ブラインドSQLiの活用
• XSSとXSRFの組み合わせ

トピック

• テスト方法の見直し
• Web侵入テストでBurp Suiteを使用する
• ローカルおよびリモートファイルインクルージョンを利用する
• SQLインジェクションやその他のサーバーベースの欠陥に関する高度な検出手法の検討
• 複合攻撃におけるXSSとXSRFの高度な利用を検討する
• 高度なエクスプロイト技術の学習

今日の複雑なWebアプリケーションの高度な技術とエクスプロイト技術を引き続き探求していきます。バックエンド言語で書かれたWebアプリケーションに影響を与える可能性のある脆弱性を見て、アプリケーション、特にMass Object Assignmentのロジックの欠陥が、セキュリティにどのように壊滅的な影響を及ぼす可能性があるかを調べます。バックエンドプログラミング言語のコア開発チームが行った前提を掘り下げ、タイプジャグリングとオブジェクト直列化を使用して、変数のデータ型を処理するだけでもWebが活用されていることについても学びます。次に、さまざまな一般的なアプリケーションとフレームワーク、およびWeb侵入テストの中で発見手法をどのように変更するかを検討します。この一部は、ブラウザ、Webサーバー、およびバックエンドのNoSQLストレージからJavaScriptが活用されるMEANスタックのような最先端の技術に結びつきます。最後のセクションでは、SharePointやWordPressなどのコンテンツ管理システムで、テスターにとってより複雑で実りあるテストを行う、ユニークなニーズと機能を備えたアプリケーションを検証します。

演習

• CakePHPでのMass Assignment
• PHPでの認証バイパス
• MEANスタック攻撃
• SharePoint
• WordPress

トピック

• Webアーキテクチャ
• Webデザインパターン
• 言語とフレームワーク
• JavaとStruts
• PHP型ジャグリング
• ロジックの欠陥
• オブジェクト直列化に対する攻撃
• MEANスタック
• コンテンツ管理システム
• SharePoint
• WordPress

暗号の弱点はWebアプリケーションでは主要な脆弱性の分野ですが、これらの欠陥を調査、攻撃、悪用する能力を持つペンテスト担当者はごく僅かです。 Webアプリケーションの暗号攻撃を調べる際には、一般的に現代のWebアプリケーションでの暗号化の実装と使用をターゲットとしています。 一般的なWebプログラミング言語や開発フレームワークは、開発者が暗号化サービスを利用できるようにしています。 多くの場合、暗号化されたデータが攻撃されるのを防ぐことはできません。また、開発者が脆弱な方法で暗号を使用してしまうケースもあります。こうした実装ミスは、暗号アルゴリズム自体の不備の利用とは対照的に、このセクションでの焦点となります。 また、アプリケーションが暗号化やハッシングを安全に使用しないさまざまな方法についても検討します。 受講生は、暗号化の種類の特定から、暗号化やハッシング技術におけるさまざまな欠陥の利用に至るまで、さまざまなテクニックを学びます。

演習

• 暗号化の分析
• データエンコーディングにおける不明瞭な作業
• バックエンドシステムによって選択された脆弱なキーを利用する
• ストリーム暗号を攻撃する
• WebアプリケーションでのECBシャッフルの発見と活用
• WebアプリケーションでのCBCビット反転の検出と活用
• WebアプリケーションでのパッディングOracle攻撃の発見と活用

トピック

• Webアプリケーションで使用される暗号化の識別
• 暗号化キーの分析と攻撃
• ストリーム暗号IVの衝突の利用
• ブロックシャッフルを使用したECB（Electronic Codebook）モード暗号の活用
• ビット反転を使用したCBC（Cipher Block Chaining）モードの活用
• PKCS＃7パディング実装の脆弱性

Webアプリケーションは従来のHTMLベースのインターフェイスに限定されなくなりました。 Webサービスとモバイルアプリケーションは一般的になり、クライアントや組織を攻撃するために定期的に使用されています。 したがって、ペネトレーションテスト担当者は、これらシステムのセキュリティを評価する方法を理解することが非常に重要になっています。 ここでは、Flash、Java、Active X、およびSilverlightの欠陥を検証します。 アプリケーションとバックエンドシステム内の欠陥を発見するためのさまざまな手法を探求します。 これらのテクニックでは、Burp Suiteやその他の自動ツールセットなどのツールを使用します。 演習では、HTTP/2やWebSocketの新しいプロトコルを探り、それぞれのプロトコルに含まれる欠陥を利用します。

演習

• カスタム化されたペンテスターのリクエストのWiresharkストリーム展開
• Flashオブジェクトの逆コンパイル
• SOAPベースのWebサービスの利用
• SocketToMeを用いたWebSocketの利用
• H2OのHTTP/2実装における弱点の発見

トピック

• Webサービスおよびモバイルアプリケーションからのトラフィックのインターセプト
• Flash、Java、ActiveX、およびSilverlightの脆弱性
• SOAPおよびREST Webサービス
• Webサービスの侵入テスト
• WebSocketプロトコルの問題と脆弱性
• 新しいHTTP/2プロトコルの問題と侵入テスト

今日のアプリケーションでは、多くのセキュリティコントロールを使用して攻撃を防ぎます。 Webアプリケーションファイアウォールやフィルタリング技術など、これらのコントロールにより、ペネトレーションテスターのテストがより困難になります。 これらのコントロールは、欠陥を発見するために使用される多くの自動ツールと容易な手法をブロックします。 本日は、コントロールのマップに使用される手法と、そのコントロールが攻撃をブロックするように設定されている方法について調べていきます。 ルールセットをマップして、Webアプリケーションファイアウォールがどのように攻撃を検出したかを特定することができます。 このマッピングは、コントロールをバイパスする攻撃を判断するために使用されます。 HTML5、UNICODEなどのエンコーディングを使用して、保護されたアプリケーション内で検出手法を使用できるようにします。

演習

• NET FrameworkとModSecurity Web Application Firewallの防御の違い比較
• ModSecurityルールの分析と意図的なルールのトリガー
• 防御しにくいWebの脆弱性に基づいたテストとフィンガープリントの防御
• XSSの防御を通じた複合データURIの処理
• sqlmapのカスタム改ざんスクリプトによるSQLインジェクション防御のバイパス

トピック

• Webアプリケーションのファイアウォールとフィルタリング技術の理解
• アプリケーションを保護するルールセットの決定
• 使用された防衛技術のフィンガープリント
• HTML5インジェクションの仕組みを
• UNICODE、CTYPE、およびデータURIを使用した制限のバイパス
• Web Application Firewallの最も守られた脆弱性、XSSとSQLiのバイパス

最終日は、ネットワーク上に配置された全ての侵入テストを完了させるための機会が与えられます。 この練習での目標は、過去5日間に学んだテクニック、ツール、方法論を探求することです。 現実的なエクストラネットとイントラネットに対してこれらのスキルを使用することができます。 最後に、テストを完了するために従った調査結果と方法論を発表していただきます。 受講生には、Samurai Web Testing Framework（SamuraiWTF）を含む仮想マシンが提供され、このコースや、仕事に戻った後でも使いながら復習することができます。