現代のWebおよびデスクトップアプリのハッキング:攻撃ベクターの未来をマスターする

このコースは、最新のWebおよびデスクトップアプリケーションの実践的なペネトレーションテストを通じて長年培ってきた経験と、膨大な研究時間を通して得た知見の集大成です。OWASPセキュリティテストガイドに基づいて構成されており、OWASPトップ10と最新のWebおよびデスクトップアプリケーションに対する具体的な攻撃ベクトルを網羅しています。このコースでは、受講生に初日からすぐに実践できるスキルを身につけていただきます。
当コースは100%ハンズオン形式です。退屈な箇条書きや理論を講義するのではなく、実践的な課題を提示し、その解決をサポートすることで、よくある問題のトラブルシューティング方法を学び、このトレーニングを最大限に活用できるよう指導します。コース終了後も、頻繁に更新されるトレーニングポータルでトレーニングを継続できます。ポータルへの生涯アクセスと無制限のメールサポートをご利用いただけます。
各日は、その日のモダンプラットフォーム(Node.js、Electronなど)の簡単な紹介から始まり、続いて静的解析の概要、動的チェックへと進み、最後に習得したスキルを試すCTFセッションで締めくくります。
1日目:モダンWebアプリのハッキングに焦点を当てます。モダンWebアプリの理解から始め、対象のアプリケーションの静的および動的解析を深く掘り下げます。この日は、ハンズオン演習とCTF形式の課題が満載です。
2日目:JavaScriptデスクトップアプリのハッキングに焦点を当てる:まず、JavaScriptデスクトップアプリと様々なセキュリティ上の考慮事項について理解を深めます。次に、アプリケーションの静的および動的分析に焦点を当てます。この日は、実践的な演習を多数行い、最後にCTFでより実践的な学習を楽しみながら締めくくります。
Training Outline
-
タイトル
現代のWebおよびデスクトップアプリのハッキング:攻撃ベクターの未来をマスターする
-
講師
エイブラハム ・アラングレン(Abraham Aranguren)
アニルッド・アナンド(Anirudh Anand) -
提供言語
英語
-
日時
2025-11-16 9:00 - 18:30
2025-11-17 9:00 - 18:30 -
会場
ベルサール新宿南口 4F Room6
-
受講人数
30名 (※最少催行人数は5名)
-
備考
- トレーニング参加者にはCODE BLUEのカンファレンスチケットが提供されます
トレーニング申し込み
トレーニング詳細
- 最新のWebおよびデスクトップアプリケーションの実践的なペネトレーションテストに興味がある方
- このコースは、様々なスキルレベルの受講生に対応できるよう設計されているため、前提条件はありません。
- 上級レベルの受講生は、包括的なラボ、追加演習、CTFチャレンジをお楽しみいただけます。
- 経験の浅い受講生は、クラスで学習できる範囲で学習を進め、トレーニングポータルを使用して自宅から自分のペースで学習を続けることができます。
- Linuxコマンドラインの基礎
- Node.js、Electron、JavaScriptの基礎知識は必須ではありませんが、あれば役立ちます。
ただし、コース開始前に以下の内容を学んでおくほど、コースから得られるものが大きくなります。
- ネットワーク通信をレビューおよび改ざんし、セキュリティ上の脆弱性を悪用する
- デスクトップアプリの証明書および公開鍵ピンニング保護を回避する
- 不十分なモダンWebおよびデスクトップアプリの防御を回避する
- ブラックボックスの観点からモダンWebおよびデスクトップアプリを分析する
- モダンWebおよびデスクトップアプリのソースコードをレビューし、セキュリティ上の欠陥を特定する
- モダンWebおよびデスクトップアプリのセキュリティレビューを実施する
このトレーニングを修了すると、受講者は以下のスキルを習得し、その能力を発揮できるようになります。
本コース受講生、コース受講の持ち物
以下の仕様のノートパソコン:
- 無線および有線ネットワークへの接続が可能
- PDFファイルの閲覧が可能
- 管理者権限: USB接続可能、AV、ファイアウォールの無効化、ツールのインストールなどが可能
- VTが無効になっている場合に備えて、BIOSパスワードの知識が必要
- 最低8GBのRAM (推奨: 16GB以上)
- 60GB以上の空きディスク容量 (ラボVMやその他の便利なものをコピーするため)
- VirtualBox 6.0以上 (「VirtualBox Extension Pack」を含む)
本コース受講生、コース受講への提供物
トレーニングポータルへの生涯アクセス(将来のアップデートを含む)、無制限のメールサポート、他の受講者と交流できるプライベートグループへのアクセス、そして様々な国の興味深いアプリへのアクセス。受講時のスキルレベルを問わず、モダンWebおよびデスクトップアプリのセキュリティに関する知識とスキルを飛躍的に向上させる、実践的なコースです。実践で実証されたヒントやコツは、あなたのスキルを次のレベルへと引き上げ、職場に戻った後すぐに実践でき、モダンWebおよびデスクトップアプリのセキュリティテストを可能な限り効率的に行うことができます。集中的なハンズオン演習を通して、モダンアプリのセキュリティの世界を深く探求できます。
講師:

Abraham Aranguren
エイブラハム ・アラングレン
ITセキュリティ分野で17年、IT分野で24年の経験を積んだアブラハムは、現在、Web/モバイルアプリ、インフラ、コードレビュー、トレーニングのペネトレーションテストを専門とする7ASecurity(7asecurity.com)のCEOを務めています。Blackhat USA、HITB、OWASP Global AppSecなど、数多くのイベントでセキュリティトレーナーを務めています。OWASPフラッグシッププロジェクト(owtf.org)であるOWASP OWTFプロジェクトリーダーでもあり、コンピュータサイエンスの修士号とディプロマを取得しています。CISSP、OSCP、GWEB、OSWP、CPTS、CEH、MCSE:Security、MCSA:Security、Security+などの認定資格も保有しています。UNIXの巨匠から指導を受けたシェルスクリプト愛好家であるアブラハムは、誇り高い男らしい髭を蓄えています。Twitterでは@7asecurity、@7a_、@owtfp、またはhttps://7asecurity.com/blogで活動しています。多数のプレゼンテーション、ペネトレーションテストレポート、録画はhttps://7asecurity.com/publicationsでご覧いただけます。

Anirudh Anand
アニルッド・アナンド
アニルッド・アナンドは、Webおよびモバイルアプリケーションのセキュリティを専門とするセキュリティ研究者です。現在、CREDでシニアセキュリティエンジニアとして勤務し、7asecurityではセキュリティトレーナーも務めています。7年以上にわたり、バグ報告やセキュリティツールへの貢献を続けてきました。余暇には、Team bi0s(CTFtimeによるとインドNo.1セキュリティチーム)と共にCTF大会に参加しています。彼の報奨金は、Google、Microsoft、LinkedIn、Zendesk、Sendgrid、Gitlab、Gratipay、Flipboardの脆弱性に関するものです。
アニルッドはオープンソースの熱心な支持者であり、OWASPの複数のプロジェクトに貢献しており、特にOWTFとHackademic Challenges Projectへの貢献が顕著です。彼は、c0c0n 2019、BlackHat Arsenal 2019、BlackHat Europe Arsenal 2018、HITB Dubai 2018、Offzone Moscow 2018、Ground Zero Summit Delhi 2015、Xorconf 2015 など、多数のカンファレンスで発表/トレーニングを行ってきました。