第12回 セキュリティもみじ セミナー
今回はWEB監査でおなじみの国分さんです。
■第12回 セキュリティもみじ セミナー 「イマドキのWeb監査/ライトニングトーク 5連発」 ■ 日時 ■ 2008年3月1日(土) 13時〜16時30分 タイムテーブル 12:30〜 開場 13:00〜 開始 メイン講演「イマドキのWeb監査」 14:15〜14:30 休憩 14:30〜16:00 ライトニングトーク3連発 16:00〜 自己紹介タイム 16:30 終了 ■ 会場 ■ 広島県立産業技術交流センター http://www.hiwave.or.jp/hikos/kouryu/kouryutop.htm 住所:広島市中区千田町3丁目7番47号 広島県情報プラザ内 TEL:082-240-7700 ※会場内は飲食物の持ち込みは原則として禁止されておりますが、ペット ボトルなどでのちょっとした飲物程度ならば許可を頂いております。 ■ メイン講師 ■ ●講演タイトル 「イマドキのWeb監査」 ●講演者 国分裕 Microsoft MVP Developer Security 三井物産セキュアディレクション株式会社(MBSD)勤務。 主に、Webアプリケーションのセキュリティに関するセキュリティ検査やコンサ ルティングなどに従事している。金融機関、官公庁、大手製造業などへのセキュ リティシステムの導入、セキュリティ 検査などの実績を持つ。 ●講演内容 価格.comの侵入事件から、XSSなどのWEBアプリの脆弱性というものが知られるよ うになってからずいぶんと経ちますが、未だに多くのWebアプリケーションにXSS に対する脆弱性が作り込まれ続けています。攻撃の基本原理は変わらないものの、 攻撃方法は複雑化し、対策側も進化しています。今回はXSSについて改めて、その 攻撃手法、被害、対策などについて、デモを交えながら紹介し、XSS撲滅に役立て ていただきたいと思います。また今話題のXSS Challenges(*)で、クリアが難しそ うな箇所について解答orヒントを解説したいと思います。 XSS Challenges by yamagata21 http://xss-quiz.int21h.jp/ 講演時間:1時間程度 ■ ライトニングトーク ■ 持ち時間5分のトークバトル。質疑応答で突っ込むべし。 ◆1発目:「Flash で MySQL サーバのデータを操作」 □講師:竹迫 良範(id:TAKESAKO) □プロフィール サイボウズ・ラボ株式会社。Shibuya.pm / Shibuya.js / Shibuya.abc 所属。 オライリーPerlクックブック第2版の監訳などを担当。 Apache2 画像フィルタ mod_imagefight の開発者。 □講演概要 ActionScript3 から flash.net.Socket クラスが使えるようになりました。 それを応用して MySQL サーバに接続する Flash アプリのデモを行います。 ◆2発目:「映画セキュリティ対策チェック」 □講師:石橋伸介(いしばし しんすけ) □プロフィール 株式会社マック・フォーラム 会計事務所で、システム管理者の様なことをやりながら、 顧問先の対応にも追われる日々。元はアプリの開発なども やっておりました。 PMAJ認定:PMスペシャリスト □講演概要 正月休みに見た「ダイ・ハード4」のDVD、面白かったw でも待てよ、これって映画の中だけって済まなないことも あるんじゃないの。 みんなで検証しよう。 ◆3発目:「WEB 診断時のテストパターン紹介」 □講師: たりき(他力本願堂本舗) □プロフィール: 某情報系会社に勤務。情報セキュリティポリシの策定支援や セキュリティ診断などを通じたコンサルティングを実施。 書籍等への寄稿多数。 □講演内容: WEB アプリケーションの脆弱性が発生する原因はわかった。 では,具体的にそれをチェックするのはどうやればいいのだろう。 簡単なテストパターンと典型的な脆弱性の発見例をもとに,誰でも できる簡単なチェック方法を紹介する。 ◆4発目:「セキュアサイト構築テクニック」 □講師:園田道夫 □プロフィール 現職はサイバー大学IT総合学部准教授(情報セキュリティ担当)、 NPO日本ネットワークセキュリティ協会研究員、独立行政法人情報処理 推進機構研究員、株式会社セキュアスカイテクノロジー取締役などなど。著書に 「アクセス探偵IHARA」「アクセスガールアスカ危機一髪」監訳に「ハニーネッ トプロジェクト」翻訳に「暗号技術大全」「Snort2.0侵入検知」等。 偉そうな肩書きは多いのですが、実態はタダのサッカー馬鹿ですヽ(´ー`)ノ 先日,ベトナムで日本代表を応援していたらしい。 http://d.hatena.ne.jp/sonodam/ http://www.asahi-net.or.jp/~vp5m-snd/ □講演内容: 世の中Webアプリ脆弱性って絶えないわけですが、おそらくその元凶のひ とつ、サンプルコードに潜む危険について検証してみます。 ◆5発目:「Web アプリのアクセス制御の罠」 □講師:佐名木 智貴 □プロフィール 「INSI 技術本部に勤務。 Web アプリのセキュテリィ検査をメイン業務をしている」 □講演内容: アクセス制御はセキュリティの基本でありながら、 最近の検査対象のほとんどで確認してしまったアクセス制御不備。 多くの Web プログラマが陥りやすいアクセス制御不備を簡単な例で紹介する。 ■ 定員 ■ 45名 ■ 参加費 ■ 一般:2500円 学生:1000円 ■ お申し込み方法 ■ 本セミナーに参加を御希望の方は、 sec-momiji-con@freeml.com 宛に メールのサブジェクトを 「第12回セキュリティもみじセミナー参加申込」 として、メール本文には ●お名前 ●御連絡先メールアドレス(携帯メール不可) ●懇親会(参加します/参加しません) 注:懇親会費用は4500円程を考えています。学生は学割ありを記載してお送り 下さい。 ■ お問い合わせ ■ 本件についてのお問い合わせは下記までお願い致します。 セキュもみじ事務担当 石橋 伸介 ( sec-momiji-con@freeml.com )