セキュリティもみじ

 | 

2008-03-01 第12回 セキュリティもみじ セミナー

第12回 セキュリティもみじ セミナー 09:39

第12回 セキュリティもみじ セミナーの正式告知です。

今回はWEB監査でおなじみの国分さんです。

■第12回 セキュリティもみじ セミナー
「イマドキのWeb監査/ライトニングトーク 5連発」

■ 日時 ■

2008年3月1日(土)
13時〜16時30分 

タイムテーブル 
12:30〜		開場
13:00〜		開始
		メイン講演「イマドキのWeb監査」

14:15〜14:30	休憩
14:30〜16:00	ライトニングトーク3連発
16:00〜		自己紹介タイム
16:30		終了

■ 会場 ■

広島県立産業技術交流センター
http://www.hiwave.or.jp/hikos/kouryu/kouryutop.htm

住所:広島市中区千田町3丁目7番47号 広島県情報プラザ内

TEL:082-240-7700

※会場内は飲食物の持ち込みは原則として禁止されておりますが、ペット
ボトルなどでのちょっとした飲物程度ならば許可を頂いております。


■ メイン講師 ■

●講演タイトル
「イマドキのWeb監査」

●講演者
国分Microsoft MVP  Developer Security
三井物産セキュアディレクション株式会社(MBSD)勤務。
主に、Webアプリケーションセキュリティに関するセキュリティ検査コンサ
ルティングなどに従事している。金融機関官公庁、大手製造業などへのセキュ
リティシステムの導入、セキュリティ 検査などの実績を持つ。


●講演内容
価格.comの侵入事件から、XSSなどのWEBアプリ脆弱性というものが知られるよ
うになってからずいぶんと経ちますが、未だに多くのWebアプリケーションXSS
に対する脆弱性が作り込まれ続けています。攻撃の基本原理は変わらないものの、
攻撃方法は複雑化し、対策側も進化しています。今回はXSSについて改めて、その
攻撃手法、被害、対策などについて、デモを交えながら紹介し、XSS撲滅に役立て
ていただきたいと思います。また今話題のXSS Challenges(*)で、クリアが難しそ
うな箇所について解答orヒントを解説したいと思います。

XSS Challenges by yamagata21
http://xss-quiz.int21h.jp/

講演時間:1時間程度



■ ライトニングトーク ■
持ち時間5分のトークバトル。質疑応答で突っ込むべし。

◆1発目:「FlashMySQL サーバデータを操作」

□講師:竹迫 良範(id:TAKESAKO)


□プロフィール
サイボウズラボ株式会社Shibuya.pm / Shibuya.js / Shibuya.abc 所属。
オライリーPerlクックブック第2版の監訳などを担当。
Apache2 画像フィルタ mod_imagefight の開発者。

□講演概要
ActionScript3 から flash.net.Socket クラスが使えるようになりました。
それを応用して MySQL サーバ接続する Flash アプリデモを行います。


◆2発目:「映画セキュリティ対策チェック」

□講師:石橋伸介(いしばし しんすけ)

□プロフィール
株式会社マックフォーラム
会計事務所で、システム管理者の様なことをやりながら、
顧問先の対応にも追われる日々。元はアプリの開発なども
やっておりました。 PMAJ認定:PMスペシャリスト

□講演概要
正月休みに見た「ダイ・ハード4」のDVD、面白かったw
でも待てよ、これって映画の中だけって済まなないことも
あるんじゃないの。 みんなで検証しよう。


◆3発目:「WEB 診断時のテストパターン紹介」

□講師:
たりき(他力本願堂本舗)

□プロフィール:
某情報会社に勤務。情報セキュリティポリシの策定支援や
セキュリティ診断などを通じたコンサルティングを実施。
書籍等への寄稿多数。

□講演内容:
WEB アプリケーション脆弱性が発生する原因はわかった。
では,具体的にそれをチェックするのはどうやればいいのだろう。
簡単なテストパターンと典型的な脆弱性発見例をもとに,誰でも
できる簡単なチェック方法を紹介する。

◆4発目:「セキュアサイト構築テクニック」

□講師:園田道夫プロフィール
現職はサイバー大学IT総合学部准教授情報セキュリティ担当)、
NPO日本ネットワークセキュリティ協会研究員、独立行政法人情報処理
推進機構研究員、株式会社セキュアスカテクノロジー取締役などなど。著書に
「アクセス探偵IHARA」「アクセスガールアスカ危機一髪」監訳に「ハニーネッ
トプロジェクト翻訳に「暗号技術大全」「Snort2.0侵入検知」等。
偉そうな肩書きは多いのですが、実態はタダのサッカー馬鹿ですヽ(´ー`)ノ
先日,ベトナム日本代表を応援していたらしい。
http://d.hatena.ne.jp/sonodam/
http://www.asahi-net.or.jp/~vp5m-snd/

□講演内容:
世の中Webアプリ脆弱性って絶えないわけですが、おそらくその元凶のひ
とつ、サンプルコードに潜む危険について検証してみます。


◆5発目:「Web アプリアクセス制御の罠」

□講師:佐名木 智貴

□プロフィール
「INSI 技術本部に勤務。
Web アプリのセキュテリィ検査をメイン業務をしている」

□講演内容:
アクセス制御はセキュリティの基本でありながら、
最近検査対象のほとんどで確認してしまったアクセス制御不備。
多くの Web プログラマが陥りやすアクセス制御不備を簡単な例で紹介する。


■ 定員 ■

45名


■ 参加費 ■

一般:2500円
学生:1000円  


■ お申し込み方法 ■

本セミナーに参加を御希望の方は、
sec-momiji-con@freeml.com 宛に
メールサブジェクトを
「第12回セキュリティもみじセミナー参加申込」
として、メール本文には

●お名前
●御連絡先メールアドレス携帯メール不可)
●懇親会(参加します/参加しません)
注:懇親会費用は4500円程を考えています。学生学割ありを記載してお送り
下さい。


■ お問い合わせ ■

本件についてのお問い合わせは下記までお願い致します。

セキュもみじ事務担当  
石橋 伸介 ( sec-momiji-con@freeml.com )
 | 

アクセス解析