2017/10/07 脆弱性診断初心者ハンズオントレーニング　参加レポート

今さらですが、脆弱性診断初心者ハンズオントレーニングの参加レポートです。
pentest-web.connpass.com

XSS, SQLインジェクション脆弱性、アクセス制御系の説明の後にBurpSuiteを使って実際に脆弱性がないかを診断していくハンズオンを実施しました。

OS, ミドルウェアの脆弱性診断は機械的に実施することが多いが、アプリケーションの脆弱性診断はアプリの特性を理解する必要があるので、人がやるのが有効とのことでした。

Webアプリケーション脆弱性診断ガイドライン https://t.co/JZoFqn7Vwg #pentestjp
— 山野健太 (@yamano3201) 2017年10月7日

安全な SQLの呼び出し方IPA https://t.co/arvFvNElGf #pentestjp
— 山野健太 (@yamano3201) 2017年10月7日

安全なウェブサイトの作り方 IPA https://t.co/MBpx6mLDIk #pentestjp
— 山野健太 (@yamano3201) 2017年10月7日

認可制御の不備は一発アウト #pentestjp
— 山野健太 (@yamano3201) 2017年10月7日

やーまんぶろぐ