Webセキュリティ演習

講義の目的と全体の構成を説明する。過去にWebに関連して起きたWebのインシデント（事件・事案）の主なものを列挙し、Webにまつわる攻撃の多様性を理解する。また、無許可の解析が違法行為となりうることを理解する。

本演習の実験環境の構築を行う。Webの仕組み（HTTP, HTML, JavaScript）についても実際に操作してみることで復習する。

パスワード推測攻撃を体験し、攻撃への対策（緩和策）についても学ぶ。これを通じて、セキュリティにおける対策には、人間とシステムの両方の観点があること、情報の漏洩を前提とする必要があること、完璧な対策がないこと学ぶ。

SQLインジェクションに代表される、サーバにコマンドおよびその断片を注入する攻撃を体験する。その仕組と対策について学ぶ。さらに、Webサーバ上のログの確認を体験し、サービスが適切に稼働しているかどうか監視（監査）する重要性を学ぶ。

ディレクトリトラバーサル攻撃を体験し、その対策として、Webアプリで行うべきチェックについて学ぶとともに、OS側の仕組み（アクセス権限、コンテナによる区画化）の効果を体験する。Webアプリの脆弱性に備えてOS側での対策の重要性も理解する。

Webブラウザは一般に複数のWebサーバとインタラクションを行う。Webブラウザ上で情報へのアクセスや操作を制御・分離する基本的なしくみとして同一オリジンポリシー（SOP）について、実際に動作を確認して学ぶ。

Webブラウザの同一オリジンポリシによるアクセス制御を回避する攻撃として、クロスサイトスクリプティング攻撃（XSS）を体験する。DOMベースXSSについても学び、ブラウザ側で実行されるプログラムのセキュリティの必要性を理解する。

Webブラウザで情報を保存する機能であるクッキーについて、動作を確認しながら学ぶ。特に、自動的に保存され、リクエストの発行元（webページ）によらず動作することを理解する。

CSRF攻撃に代表される、Cookieの特性を利用した攻撃を体験する。代表的な対策（ワンタイムトークン、再認証など）についても、実際にそれが行われているケースを見て学ぶ。

クッキーやインラインフレームなどのメカニズムを用いたトラッキングについて、その動作を実際に確認して学ぶ。トラッキングと人権（プライバシ）・法律（個人情報保護）の関係について理解する。

ブラウザからWebアプリケーションにアクセスする際のトラフィックの、パケット解析ツールを用いた解析を体験する。httpとhttpsの違いについて学び、WebブラウザがWebサーバを認証するという観点と、https（TLS）による機密性・完全性について理解する。

Webアプリケーションの可用性に対する攻撃として、利用不能攻撃を体験する。最低限必要な対策について理解するとともに、国境を超えたサイバー攻撃の実態についても学ぶ。

人間の特性を利用した攻撃として、フィッシング攻撃を体験し、その対策について学ぶ。メールなどWeb以外の経路から開始される攻撃があること、人間の脆弱性への対策の難しさを理解する。

攻撃者が攻撃を試みる場合のモデル（サイバーキルチェーン、MITRE ATT&CK等）とペネトレーションテストの考え方について学ぶ。さらに、ペネトレーションのスキルを向上させる手段としてのCTFを体験する。

インシデントレスポンスのフロー（①検知・分析、②初動対応・封じ込め、③根絶・復旧、④事後対応）について学び、インシデントレスポンスを仮想的に体験することで、限られた工数の中で対応を迫られるCSIRTの活動を体験・理解する。