“徳丸本”に基づくWebアプリケーションセキュリティ教育
弊社代表徳丸浩が執筆した「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 」は、“徳丸本”という愛称で現場のエンジニアの方々に親しまれています。弊社の提供する教育プログラムは、“徳丸本”の内容を執筆者自らが説明するものです。
HASHコンサルティングは常設の教室がありませんので、徳丸が貴社に伺ってご説明致します。座学形式・ハンズオン(実習)のどちらにも対応致します。貴社に適当なスペースがない場合は弊社にて用意致しますのでお問い合わせ下さい。
以下はカリキュラム例です
- セキュリティ最新動向
- インシデント事例
- スマートフォンアプリのセキュリティ
- クラウド(主にSaaS)のセキュリティ
- HTTPと同一生成元ポリシー(書籍3章)
- 脆弱性の説明(書籍4章)
- 主なセキュリティ機能の説明(書籍5章)
- 携帯電話向けアプリケーションのセキュリティ(書籍7章)
- 開発プロセスとセキュリティ(書籍9章)
- 日々の情報収集の方法
ウェブ健康診断仕様に基づく脆弱性診断実習
ウェブ健康診断とは、(財)地方自治情報センター自治体セキュリティ支援室が、地方公共団体向けにWebアプリケーションの簡易診断を実施する事業であり、検査仕様が公開されています。弊社代表の徳丸浩は、技術アドバイザーとして同仕様策定に協力しています。
HASHコンサルティング株式会社は、ウェブ健康診断仕様によるWebアプリケーション脆弱性診断の実技トレーニングを実施しています。ウェブ健康診断仕様に記載された12項目(クローラへの耐性を除く)が全て混入した「とても脆弱なWebアプリケーションサンプル」を対象として、実機により診断を進めていきます。診断対象アプリケーションはVMwareイメージのCD-ROMとしてお持ち帰りいただけます。診断のイメージを「安全なWebアプリケーションの作り方」P464より引用致します。
主な実習項目は下記の通りです。
- 手動診断用ツール(Burp Suite等)の説明
- ウェブ健康診断仕様の概要
- 実習用サイトの説明
- 各脆弱性項目毎の診断実習
- クロスサイト・スクリプティングの診断方法(リモート、ソース)
- SQLインジェクションの診断方法(リモート、ソース)
- クロスサイト・リクエストフォージェリ
- その他の脆弱性
HASHコンサルティングには常設教室がないため、徳丸が貴社を訪問して実習を致します。適当な実習場所がない場合は弊社にて準備致しますのでご相談下さい。