ホーム > SEC542 Web App Penetration Testing and Ethical Hacking

SEC542 Web App Penetration Testing and Ethical Hacking

  • New!
    新規コース(過去6ヶ月)

コース基本情報

コースタイトル SEC542 Web App Penetration Testing and Ethical Hacking
コースコード SCC0180R  
コース種別 集合研修 形式 講義+実機演習
期間 6日間 時間 9:30~17:30 価格(税抜) 610,000円(税抜)
主催 NRIセキュアテクノロジーズ株式会社
日程 会場 空席状況 実施状況 選択

2017年10月16日(月) ~ 2017年10月21日(土)

NRI東京(秋葉原UDX)

  お問い合わせください

※「キャンセル待ち」でお申し込みの方には、別途メールにてご連絡いたします。
※「実施確定」表示のない日程は、お申し込み状況により開催中止になる場合がございます。
※ グローバルナレッジ主催コース以外の空席状況は、残席数に関わらず「お申し込み後確認」と表示されます。
※ グローバルナレッジ主催コース以外では、主催会社のお席を確保した後に受付確定となります。

詳しくはお問い合わせください。

ワンポイント

SEC542は、GIAC(GWAPT)認定試験対象コースです。
受験をご希望の場合、同時に「GIAC試験バウチャーバンドルオプション」をお申し込みください。
※試験バウチャーはSANSトレーニングのセット購入の場合のみご購入可能です。
(試験バウチャーのみのご購入はお断りさせていただきます)

当コースのご受講には、演習で使用するPCのご持参が必要です。受講に必要なPC環境(外部サイト)をご確認いただき、ご準備の上トレーニングにご持参くださいますようお願いいたします。

当コースは、早期割引の適用が可能です。

■早期申込割引について(46日前までの申込み)
 610,000円(税抜) → 570,000円(税抜) 
→割引適用ご希望の方はお申込時に備考欄へ「早期申込割引適用希望」とご記載ください。

■当コースをご受講いただいた方は、2017年10月26日~27日開催 Core NetWars Experience に無料でご参加いただけます。
Core NetWars Experienceにご参加希望の方はお申し込み時に備考欄へ「Core NetWars Experience 参加希望」とご記載ください。

対象者情報

対象者
・ペネトレーションテスター/エシカルハッカー(侵入テストや脆弱性診断を実施しているセキュリティコンサルタントの方)
・Webアプリケーション開発者
・Webサイトデザイナー・設計者
前提条件
□Linuxコマンドラインに関する基本的な業務知識がある

学習内容の詳細

コース概要
SEC542は、多くの組織を悩ませているWebアプリケーションのセキュリティ状況を正しく評価し、発見された脆弱性や欠陥の影響を実証するスキルを受講者に提供します。また、各自が所属組織に戻った後も継続してこれらのスキルが活用できるよう、フィールドテストプロセスや反復プロセスなども徹底的に学びます。
ある程度の技術力を持ったいわゆる「セキュリティオタク」は、組織のリスクを業務に関連付けて説明できません。侵入テストの技術の多くは、適切な対策を採用するように組織に働きかけるというよりも、攻撃者が行うのと同等の手法を習得するというリスクの側面の方が強調されがちです。SEC542の目標は、単に高度なハッキングスキルを習得することでなく、侵入テストを正しく活用して組織をより安全にすることです。
SEC542は、高品質なコースコンテンツに加えて、実践的な演習に強く焦点を当てています。経験豊かな世界クラスのインストラクター陣は、そのインストラクションスキルは当然のこと、実務スキルに精通したプラクティショナーとしても最高の能力を有しています。初日から5日目までの30以上の演習項目に加え、最終日には、Webアプリケーションの侵入テストを実行するためのCTF(Capture the Flag)イベントも行います。
学習目標
● Webデバッグプロキシ
● SQLインジェクション
● ブラインドSQLインジェクション
● 反射型クロスサイトスクリプティング(Reflected XSS)
● 持続型クロスサイトスクリプティング(Stored XSS)
● ローカルファイルインクルード(Local File Inclusion: LFI)
● リモートファイルインクルード(Remote File Inclusion: RFI)
● クロスサイトリクエストフォージェリ(CSRF/XSRF)
学習内容
Day 1 Introduction and Information Gathering
  - Overview of the Web from a penetration tester’s perspective
  - Exploring the various servers and clients
  - Discussion of the various Web architectures
  - Discover how session state works
  - Discussion of the different types of vulnerabilities
  - Define a Web application test scope and process
  - Define types of penetration testing
  - Heartbleed exploitation
  - Utilizing the Burp Suite in web app penetration testing

 Day 2 Configuration, Identity, and Authentication Testing
  - Discovering the infrastructure within the application
  - Identifying the machines and operating systems
  - Secure Sockets Layer (SSL) configurations and weaknesses
  - Exploring virtual hosting and its impact on testing
  - Learning methods to identify load balancers
  - Software configuration discovery
  - Exploring external information sources
  - Learning tools to spider a website
  - Scripting to automate web requests and spidering
  - Brute forcing unlinked files and directories
  - Discovering and exploiting Shellshock

 Day 3 Injection
  - Python for web app penetration testing
  - Web app vulnerabilities and manual verification techniques
  - Interception proxies
  - Zed Attack Proxy (ZAP)
  - Burp Suite
  - Information leakage and directory browsing
  - Username harvesting
  - Command Injection
  - Directory traversal
  - Local File Inclusion (LFI)
  - Remote File Inclusion (RFI)
  - SQL injection
  - Blind SQL injection
  - JavaScript for the attacker

 Day 4 JavaScript and XSS
  - Cross-Site Scripting (XSS)
  - Cross-Site Request Forgery (CSRF)
  - Session flaws
  - Session fixation
  - AJAX
  - XML and JSON
  - Logic attacks
  - Data binding attacks
  - Automated web application scanners
  - w3af

 Day 5 CSRF, Logic Flaws and Advanced Tools
  - The sqlmap tool
  - Metasploit for web penetration testers
  - Exploring methods to zombify browsers
  - Browser Exploitation Framework (BeEF)
  - Leveraging attacks to gain access to the system
  - How to pivot our attacks through a web application
  - Understanding methods of interacting with a server through SQL injection
  - Exploiting applications to steal cookies
  - Executing commands through web application vulnerabilities
  - Walking through an entire attack scenario

 Day 6 Capture the Flag
  - 6日目には、チームを組んで、Webアプリケーションに対する
    ペネトレーションテストトーナメントで競争を行います。

関連試験や資格との関連

GIAC認定試験 GIAC(GWAPT)認定試験

ご注意・ご連絡事項

・当コースは、NRIセキュアテクノロジーズ株式会社が主催いたします、SANS認定トレーニングです。
・早期割引価格適用することも可能です。
適用条件:トレーニング初日の46日前までに申込み手続きが完了していること
・お申込み期限(全トレーニング共通):
- トレーニング初日の7日前まで
・キャンセル期限:
- トレーニング初日の46日前まで:無償キャンセル
- トレーニング初日の45-16日前まで:キャンセル料として20,000円をお支払いただきます
- トレーニング初日の15日前以降:受講費用の100%をお支払いただきます