【学生優先・ハンズオン】体系的に学ぶモダン Web セキュリティ＠京都

[02/21 15:30更新] COVID-19拡大への対応について判断を変更　打消し線、★をご確認ください
[02/20 16:30更新] COVID-19拡大への対応について

---

新型コロナウイルス感染症（COVID-19）拡大への対応について

COVID-19につきまして、既に国内において感染経路が特定できない
人から人への感染が拡大していることが強く懸念される状況にあります。
つきましては、OWASP Kansaiとして下記の判断をいたします。
運営、参加者ともに協力しあい、良い学びが得られる場を作り上げていきましょう。

◆開催の有無

• 現時点では合理的に取りうるあらゆる対策を実施したうえで【現地開催 】します
  
• ただし、開催日至近に中止/延期/オンライン開催への切り替えが発生する可能性もあります
• 講師やその所属・会場提供会社・国や自治体、関係省庁からの発信を受け、総合的に判断します
  
• ★現地開催、リアルタイムなオンライン開催を行わない
  
• ★学生優先の条件で抽選を行い30名に対して、以下を提供させていただきます
  
• ★「自学自習ができるオンラインコンテンツの提供」＋「講師/チューターによるSlack上での学習サポート」
  
• ★ 事前学習用環境は近日中・本番の演習環境は開催予定日を予定しております
  

◆主催団体としての対策

• 参加者への密な情報発信：
  
• 　DoorKeeperのメール、別途案内するSlackにより、定期的に情報共有や周知を行います
  
• 移動リスクの最小化：
• 　参加者を関西圏の在住者に限定します（所属名で判断）
• 　参加数の上限を引き下げることもあり得ます
• イベント会場における感染症対策：
• 　定期的な室内の換気
• 　消毒アルコールの配備
• 　参加者が過密にならない会場レイアウト
• 　参加者への健康状態のヒアリングや検温

◆参加者への対策のお願い

• COVID-19に関する情報収集
  
• 毎日の、検温・健康チェック（だるさや咳の有無）
  
• 帰宅時に手洗い、うがい
  
• 感染した場合に重症化しやすい持病等を持つ参加者、または同居家族を有する人は、参加自体を自粛（家族への相談を推奨）
  
• 総合的な判断、自主的なキャンセル（直前でもOKです）
  

以上、「COVID-19拡大への対応について」

---

WEBセキュリティを体系的に学ぼう！！

今回は、あのセキュリティ・キャンプ全国大会でも講師を務めた、現役大学生つばめ@lmt_swallowさんをお招きします。

昨今の Web セキュリティにまつわる動向はどうにも複雑で、学びにくいものとなってきています。とりわけ SOP や CORS, CSP のようなブラウザの持つ仕組みに関して、「ふんわりとどんな機能かは分かるけど、存在意義は分からない」 「なんとなく理解しきれていない…」 といった感覚を抱いている方や、「なんかエラーが出るやつ」 という認識をしている方は少なくないはずです。

そこで今回、主にWeb ブラウザに存在する様々なセキュリティ機構についてフォーカスしながら、次のようなことを学ぶためのワークショップを開催します。

なぜそれが存在するのか … 導入された背景を学ぶ
どんな保護を提供してくれているのか … その有無によりどう挙動が変わるかを学ぶ
不適切な設定がもたらす問題とはなにか … どのような攻撃手法が存在しているのかを学ぶ
当日は休憩含めて 8 時間みっちり手を動かしつつ、Web ブラウザの持つセキュリティ機構の発展の歴史と攻撃手法の発展の歴史の両方を整理しながら学んでいきます。

参加要件と申込み方法

定員 30 人の抽選制とします
講師の意向により、今回は学生優先イベントです
① 優先枠：
1. 学生であること（学年は問いません）（中高大、高専、専修、専門など校種は問いません）（社会人学生を除く）
2. 募集期間： 2/20 17:00まで ⇒ 定員を超えた場合、抽選実施
※抽選までの期間は「キャンセル待ち」と表示されます

② 残り枠：
1. 優先枠close後に参加枠に残りがあれば、社会人含むすべての人に対して募集をオープンします。
2. 募集期間：2/21 12:00 ~ 2/27 17:00まで

今回のコンテンツは、主に以下のような方にマッチするように作られています。 ミスマッチを避けるためにも、抽選登録の前にご確認ください。講義中は実際に学んだ攻撃手法を再現するなど、手を動かすことが多くあります。

• 簡単な Web ページを作成・公開 (社内・サークル内のような規模のものも含む) したことのある方。
• Web アプリケーションの基本的な脆弱性 (e.g. XSS, SQL Injection, CSRF, ...) についての理解がある方。
• HTML, CSS, JavaScript をあまり苦しまずに書ける方 、基本的な構文には慣れ親しんでいる方。
• 事前学習など事前準備をできる方。

コンテンツ

講義コンテンツとしては、セキュリティ・ミニキャンプ in 岡山 2018 で使用したもの と セキュリティ・キャンプ全国大会 2019 で使用したものに、多少の更新を加えたものを利用します。当日はスライドでは省略されているハンズオンがメインとなります。
抽選実施後、参加者（当選者）にのみ、DoorKeeper登録のメールアドレスに対してwebsecjp勉強会Slackの招待Linkを送信します。事前学習資料は参加者にのみ同Slack経由で提供されます。

＜タイムライン(概要)＞

★現地開催ではなく、オンラインの自学自習に切り替えましたので、
★事前学習用、本番演習のタイムラインは専用Slackで告知します

時間	コンテンツ
10:00 - 10:15	会場受付開始
10:15 - 10:30	オリエンテーション
10:30 - 12:30	イントロダクション (SOP, CORS)
12:30 - 13:00	休憩
13:00 - 14:00	CSS Injection 体験
14:00 - 14:20	休憩
14:20 - 16:20	XS-Search 体験
16:20 - 16:40	演習 (脆弱な Web アプリケーションを用いたハンズオン)
16:40 - 17:40	競技の振り返り・解説
17:40 - 18:00	クロージング

• スライド撮影：OK
• 内容Tweet：OK
• 資料公開：アリ

会場について

サポーターズ京都オフィス
京都フコク生命四条柳馬場ビル 2F
〒600-8005 京都府京都市下京区立売東町四条通麩屋町西入１
最寄駅
- 地下鉄烏丸線 四条駅　徒歩５分
- 阪急京都線　烏丸駅　徒歩５分

• 無料Wi-Fiあり
• 机あり
• 電源あり

注意点

お申し込みの際には以下の注意点をご確認いただき、ご了承いただいた上でお手続きください。

• 抽選の末参加が決定した場合には、できるだけキャンセルしないでいただけると助かります。
• やむを得ない理由で欠席する場合には、できるだけ早くご連絡ください。
• 本勉強会参加後に、講義コンテンツに係るアンケートへのご協力をお願いすることがあります。
• 記録や SNS での広報を目的として、運営が写真を撮影する場合があります。ご了承ください。

Tweetハッシュタグ

参加の意気込みや感想などつぶやいてください。
　#owaspkansai　 #websecjp
　Tweetまとめ

主催

OWASP Kansai
OWASP KansaiとはWebセキュリティを取り巻く問題を解決する国際的なコミュニティの関西チャプターです。
https://www.owasp.org/index.php/Kansai