ウェブエンジニア セキュリティ初級講座

ウェブエンジニア セキュリティ初級講座_個人

• はじめに 00:02:29 Preview
• Bad Todo環境で利用する際の文字列の確認方法のご紹介（2パターン） Preview
• 導入：Webアプリケーションの脆弱性とは 00:03:54 Preview
• 導入：脆弱性が原因の事件例 00:02:23 Preview
• 導入：SQLインジェクション攻撃のデモ 00:05:37 Preview
• 確認テスト：導入(8問) Preview
• 脆弱性をめぐる用語や基準：CVEとCWE 00:01:42 Preview
• 脆弱性をめぐる用語や基準：OWASP Top 10 00:01:14 Preview
• 脆弱性をめぐる用語や基準：安全なウェブサイトの作り方 00:01:00 Preview
• 確認テスト：脆弱性をめぐる用語や基準（8問） Preview
• ウェブセキュリティの基礎：ウェブサイトへの攻撃経路 00:02:56 Preview
• ウェブセキュリティの基礎：ブラウザ上のロジックは回避できる 00:02:06 Preview
• 確認テスト：ウェブセキュリティの基礎（8問） Preview
• 認証：本人確認、認証、認可の違い 00:01:54 Preview
• 認証：認証の手段 00:01:37 Preview
• 確認テスト:認証（8問） Preview
• セッション管理：ログイン処理の様子 00:01:12 Preview
• セッション管理：ログイン結果をCookieやlocalStorageに保存する 00:02:46 Preview
• セッション管理：ユーザIDをCookieに保存すると脆弱性になる 00:01:34 Preview
• セッション管理：なぜユーザIDをCookieに保存してはいけないか 00:01:10 Preview
• セッション管理：セッション管理の原理 00:01:15 Preview
• セッション管理：推測可能なセッションID(CWE-614) 00:01:23 Preview
• セッション管理：セッションIDはランダムでなければならない 00:01:32 Preview
• セッション管理：セッションIDの固定化(CWE-384) 00:01:55 Preview
• セッション管理：セッションIDに求められる要件 00:01:42 Preview
• 確認テスト：セッション管理（8問） Preview
• HTTPSの利用：通信路での盗聴の脅威 00:03:41 Preview
• HTTPSの利用：HTTPSの利用と要件 00:02:02 Preview
• HTTPSの利用：HSTS 00:01:59 Preview
• HTTPSの利用：Cookieのセキュア属性 00:01:49 Preview
• 確認テスト：HTTPSの利用（7問） Preview
• 第一部の講義資料 Preview
• SQLインジェクション：SQLインジェクションのイメージ 00:02:35 Preview
• SQLインジェクション：脆弱なスクリプトと攻撃方法 00:01:28 Preview
• SQLインジェクション：デモ1 エラーメッセージからの漏洩 00:02:55 Preview
• SQLインジェクション：デモ2 認証回避 00:01:09 Preview
• SQLインジェクション：デモ2 認証回避ができる理由 00:01:36 Preview
• SQLインジェクション：デモ3 UNIONによる攻撃 00:01:21 Preview
• SQLインジェクション：SQLインジェクションの影響・対策 00:03:57 Preview
• SQLインジェクション：フレームワーク利用時の対策 00:01:17 Preview
• SQLインジェクション：SQLインジェクションのまとめ 00:01:12 Preview
• 確認テスト：SQLインジェクション（8問） Preview
• XSS：XSSのイメージ 00:01:52 Preview
• XSS：脆弱性のあるプログラム 00:02:14 Preview
• XSS：デモ 00:02:58 Preview
• XSS：クロスサイトスクリプティングの影響 00:00:56 Preview
• XSS：XSSの対策の基本 00:01:49 Preview
• XSS：javascriptスキームのXSS 00:01:38 Preview
• XSS：イベントハンドラのXSS 00:02:40 Preview
• XSS：XSSの対策（根本的解決策） 00:01:49 Preview
• XSS：XSSの保険的対策 00:01:57 Preview
• XSS：クロスサイトスクリプティングのまとめ 00:01:22 Preview
• 確認テスト：XSS（8問） Preview
• CSRF：脆弱な機能（パスワード変更）の正常系 00:02:31 Preview
• CSRF：脆弱性のあるプログラム 00:03:05 Preview
• CSRF：デモ1　サイトの確認 00:02:36 Preview
• CSRF：デモ2　罠サイトの作成 00:01:55 Preview
• CSRF：デモ3　管理者が罠サイトを閲覧 00:01:36 Preview
• CSRF：デモ4　パスワードリセット 00:02:05 Preview
• CSRF：影響と対策 00:01:47 Preview
• CSRF：CookieのSameSite属性 00:04:23 Preview
• CSRF：CSRFのまとめ 00:01:32 Preview
• 確認テスト：CSRF（9問） Preview
• アップロードの問題：ファイルアップロードにまつわる問題 00:01:34 Preview
• アップロードの問題：脆弱なスクリプト 00:01:08 Preview
• アップロードの問題：アップロードによるリモートコード実行 00:00:54 Preview
• アップロードの問題：ダウンロードによるXSS 00:01:39 Preview
• アップロードの問題：デモ リモートコード実行 00:02:19 Preview
• 【デモ リモートコード実行】Bad Todo環境で利用する場合のファイルダウンロードはこちらからお願いします Preview
• アップロードの問題：デモ XSS 00:03:08 Preview
• 【デモ XSS】Bad Todo環境で利用する場合のファイルダウンロードはこちらからお願いします Preview
• アップロードの問題：ファイル名の衝突がセキュリティ上の問題となるシナリオ 00:01:14 Preview
• アップロードの問題：ファイル名重複チェック時のTOCTOU競合 00:01:05 Preview
• アップロードの問題：レースコンディションが起こる様子 00:00:50 Preview
• アップロードの問題：ファイルの排他的生成モード 00:00:56 Preview
• アップロードの問題：ファイル名の衝突対策のまとめ 00:01:17 Preview
• アップロードの問題：対策 00:03:10 Preview
• アップロードの問題：まとめ 00:02:52 Preview
• 確認テスト：アップロードの問題（8問） Preview
• セキュリティ設定のミス：セキュリティ設定のミスとは 00:00:36 Preview
• セキュリティ設定のミス：クッキーへの機密情報の保存(CWE-315) 00:00:49 Preview
• セキュリティ設定のミス：Cookieのセキュア属性欠落(CWE-614) 00:00:50 Preview
• セキュリティ設定のミス：CookieのHttpOnly属性不備(CWE-1004) 00:01:02 Preview
• セキュリティ設定のミス：Cookieの属性のまとめ、推奨値 00:01:23 Preview
• セキュリティ設定のミス：セキュリティヘッダの不備 00:00:59 Preview
• 確認テスト：セキュリティ設定のミス（7問） Preview
• コンポーネントやプラットフォームの脆弱性：コンポーネントやプラットフォームの脆弱性について 00:00:45 Preview
• コンポーネントやプラットフォームの脆弱性：サポートライフサイクルポリシー(PHPを題材に) 00:01:35 Preview
• コンポーネントやプラットフォームの脆弱性：Log4Shell 00:03:11 Preview
• コンポーネントやプラットフォームの脆弱性：GMO PGのカード情報漏えい事件の概要 00:02:18 Preview
• コンポーネントやプラットフォームの脆弱性：GMO PGのカード情報漏えい事件の時系列 00:02:40 Preview
• コンポーネントやプラットフォームの脆弱性：S2-045のデモ 00:05:05 Preview
• コンポーネントやプラットフォームの脆弱性：S2-045の攻撃はどうすれば防げたか 00:01:17 Preview
• コンポーネントやプラットフォームの脆弱性：まとめ 00:00:43 Preview
• 確認テスト：コンポーネントやプラットフォームの脆弱性（6問） Preview
• Python注釈資料 Preview
• 第二部の講義資料 Preview
• 認証の強化：パスワード認証に対する攻撃 00:05:20 Preview
• 認証の強化：パスワードの要件 00:02:11 Preview
• 認証の強化：ログインフォームの実装方法 00:01:09 Preview
• 認証の強化：認証の強化策 00:01:06 Preview
• 認証の強化：パスワード以外の認証手段 00:01:46 Preview
• 確認テスト：認証の強化（7問） Preview
• パスワードの保護：パスワードを特別に保護する理由 00:01:07 Preview
• パスワードの保護：パスワードはハッシュ値で保存する 00:01:14 Preview
• パスワードの保護：Linkedinから漏洩したパスワードハッシュ値が短期間で復元された理由 00:01:34 Preview
• パスワードの保護：どうして暗号化ではなくハッシュなのか 00:01:05 Preview
• パスワードの保護：ソルトとストレッチング 00:01:17 Preview
• パスワードの保護：結局どうすればよいか 00:00:41 Preview
• 確認テスト：パスワードの保護（8問） Preview
• 認可：認可制御とは 00:00:44 Preview
• 認可：認可制御不備の典型的パターン1 00:01:00 Preview
• 認可：認可制御不備の典型的パターン2 00:01:36 Preview
• 認可：認可制御不備のデモ 00:01:36 Preview
• 認可：認可制御不備の典型的パターン3 00:01:26 Preview
• 認可：認可制御不備の典型的パターン4 00:01:09 Preview
• 認可：認可制御の正しい実装 00:01:45 Preview
• 認可：ロールと権限マトリックス 00:02:09 Preview
• 確認テスト：認可（8問） Preview
• 第三部の講義資料 Preview
• 統計でみるインシデント動向 00:01:28 Preview
• 事例１：「玄海町ふるさと納税特設サイト」SQLインジェクションによる不正アクセス事例 00:02:42 Preview
• 事例２：2024年5月全国漁業協同組合連合会 通販サイト「JFおさかなマルシェ ギョギョいち」への不正アクセス 00:02:41 Preview
• 生成AI（LLM）の基本的な動作原理 00:02:32 Preview
• RAG（Retrieval-Augmented Generation：検索拡張生成） 00:01:34 Preview
• MCP（Model Context Protocol） 00:02:08 Preview
• AIエージェント 00:02:21 Preview
• 技術的リスク：「意味の欠如」とハルシネーション 00:01:44 Preview
• パッケージハルシネーション攻撃 00:01:42 Preview
• ガバナンス・法的リスク 00:02:21 Preview
• 2023年3月20日に発生したChatGPT障害 00:01:19 Preview
• 対策①：プロンプトを構造化する 00:02:01 Preview
• 対策②：検証を自動化する 00:01:58 Preview
• 対策③：Human-in-the-Loop 00:01:50 Preview
• 確認テスト：生成AIの開発利用(5問) Preview
• 第四部の講義資料 Preview
• ウェブエンジニア セキュリティ初級講座 修了証 Preview
• ウェブエンジニア セキュリティ初級講座 受講後アンケート Preview