Print Friendly, PDF & Email

研修成果

Webアプリケーションシステムの脆弱性が原因で発生するWebページの改ざん、情報漏えい、利用者に被害が及ぶ攻撃のしくみを実機を通して体験的に学習します。
グループディスカッションで問題対策技術を話し合うことにより、必要なWeb技術をより深く理解します。

達成目標

  1. 安全なWebアプリケーションの設計ができる
  2. 安全なWebアプリケーションのコーディングができる
  3. Webサーバのセキュリティを設定できる
  4. Webシステムの安全な運用環境を構築できる

対象

  • 今後Webアプリケーションを開発される予定の方、または運用を行う方

前提知識

なし

カリキュラム

1日目

  1. Web技術基礎 【講義/演習】
    1. HTML、CSS、XHTML、XML、DOM
    2. HTTP、Cookie、セッション管理
    3. サーバサイド言語、クライアントサイド言語
    4. Webサービス
  2. Webアプリケーションに関連する攻撃
    • パラメータ改竄
    • スクリプトインジェクション
    • クロスサイトスクリプティング
    • クロスサイトリクエストフォージェリ
    • SQLインジェクション
    • LDAPインジェクション
    • XQuery、XPathインジェクション、XMLインジェクション
    • HTTPヘッダインジェクション
    • HTTPレスポンススプリッティング
    • 強制ブラウズ
    • ディレクトリトラバーサル
    • ヌルバイト攻撃
    • OSコマンドインジェクション

2日目

  1. Webサーバのセキュリティ設定
    1. 一覧表示の抑止
    2. プログラム名/バージョン情報送出の抑止
  2. SSL(Secure Sockets Layer)
    1. 暗号技術、認証技術
    2. 認証局、デジタル証明書
    3. ApacheのSSL設定
  3. Webで利用されるアクセス制限
    1. ユーザ認証によるアクセス制限
    2. 接続元ホストによるアクセス制限
    3. 接続元ホストとユーザ認証を組み合わせたアクセス制限
    4. アプリケーションによる認証機能の実装
  4. DNSサーバのセキュリティ
    1. DNSキャッシュ汚染攻撃とは
    2. DNSキャッシュ汚染対策
  5. プロキシサーバ
    1. フォワードプロキシ、リバースプロキシ
    2. プロキシを使う上での問題点
  6. データベース
    1. スキーマの管理
    2. アクセス権限の管理
    3. ビュー表の利用
    4. 三層構造における完全な監査証跡の保存(SOX法対策)
  7. セキュリティ運用
    1. セキュリティ診断
    2. 侵入検知(IDS)
    3. ログの監視

必要備品

受講生PC: 各PC1台(Windows 10がインストールされメモリが4GB以上、HDDの空きが30GB以上、ネットワーク環境に接続されていること)
研修でWireSharkのインンストール、OWASP ZAPのインストール、telnetクライアントの有効化、DNSの設定変更、プライベート認証局の証明書のインポートを行いますので受講生のアカウントにAdministrator権限をお願いします。
講師用PC: 受講生と同じ環境に、パワーポイント、Acrobat Readerが使えること
講師持ち込みPCをネットワークに接続させていただきたいと思いますが、ダメな場合は講師用PCにVirtualBoxをインストールさせていただき、仮想サーバーをインポートさせていただきます。

価格(ノンカスタマイズの場合)

※名古屋市内からの交通費と宿泊費が別途必要な場合があります

講師料:30万円(税別)
テキスト代:3,000円(税別) ✕ 研修参加人数

イメージ写真

 coming soon.

Webアプリケーション開発のための情報セキュリティ対策研修への感想

このページを見ている方にオススメの研修

5.1 基礎から学ぶネットワーク技術研修

キーワード:TCP/IP、OSI、Wireshark、Ethernet、DNS、DHCP