※満員御礼※【11月15日（水）】「EGSSウェブセキュリティ定期勉強会 #1」開催

定期勉強会　概要

ウェブセキュリティの技術を深めたい社会人エンジニアや将来セキュリティエンジニアを目指す学生に、弊社が日々の業務や研究で得たノウハウを共有することで、セキュリティ人材の育成に寄与することを目的に、技術者向けの勉強会を開催します。

弊社代表の徳丸をはじめ、脆弱性診断等に従事する弊社エンジニアによる講義のほか、講義に対する質疑応答も含めた意見交換のお時間も用意します。活発な意見交換のため、少人数での開催となります。

ご参加いただいた方のご感想やご意見を取り入れながら、エンジニアのみなさまと一緒に、充実した勉強会に育てていきたいと考えていますので、ぜひご参加ください。

今回のアジェンダ

ソフトウェアの脆弱性には、なぜか人を引きつける不思議な魅力があります。脆弱性の実体は単なるバグに過ぎないのに、意図しない動作として、なぜ危険な悪用ができてしまうのでしょうか? この勉強会では、WordPress本体とプラグインの脆弱性をデバッガで追跡することにより、脆弱性の中身について詳しく追跡し、理解を深めることを目的としています。
題材として、以下を予定しています。

扱う脆弱性

• WordPress REST APIの脆弱性 CVE-2017-1001000 （初級編）
• WordPress NextGEN GalleryのSQLインジェクション脆弱性（CVE不明）（上級編）

参考

• WordPress 4.7.1 の権限昇格脆弱性について検証した
• WordPressのプラグインNextGEN GalleryのSQLインジェクション脆弱性について検証した

デモ環境

• Windows 10上のNetBeans IDE 8.2、Google Chrome
• WordPress 4.7.1 / NextGen Gallery 2.1.69

今回の勉強会はハンズオンではなく座学ですが、自前でリモートデバッグ環境を作れる方は、PCを持ち込みいただいて、手元で再現してみることもできます。ただし、その場で十分なサポートができない可能性があります。希望者には脆弱性を再現できるVMをお配りします。

講師

徳丸　浩

日時

2017年11月15日　19：00～20：30

場所

EGセキュアソリューションズ株式会社

〒106-0025 東京都港区麻布十番１－２－３　プラスアストルビル５Ｆ

5F大会議室

対象者

ウェブセキュリティに興味のある社会人エンジニア、学生

定員

• 一般参加枠：10名（抽選）
• Blog参加枠：2名（抽選）
  • イベントに関するブログを公開していただける方の参加枠です。

イベント受付

本勉強会は、以下のconnpassイベントサイトにて参加登録を受付中です。

デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう

会場の設備（重要）

当会場には、有線LANやWi-Fiなどによるインターネット接続環境はございません。インターネットへの接続が必要な場合は、お手数ですが、ご自身でご用意いただけると幸いです。

受付票について（重要）

ご参加される場合は、ご参加登録時または抽選当選時に送信されるメールにて確認可能な「受付票」を、印刷してご持参いただくか、スマートフォンやタブレットなどで閲覧可能な状況にして受付にてご提示ください。