Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」の一部を無料公開中[PR]

今回は「Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」の一部を無料公開中[PR]」についてご紹介します。

関連ワード (別途有料、期間、無料等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


国内の主要なSaaS企業やSIerに脆弱性診断サービスなどを提供しているFlatt Security社は、Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」のトライアルとしてコンテンツの一部を無料で公開中です。

メールアドレスを登録するだけで利用を開始でき、期間も無制限。

KENROでは「SQLインジェクション」「XSS(クロスサイトスクリプティング)」「ディレクトリトラバーサル」などを始めとする10種類の一般的な脆弱性についてテキストで学び、その学びを基に攻撃者として脆弱性に対する攻撃を「ハッキング演習」で試し、その脆弱性があるコードを自分で修正する「堅牢化演習」まで、オンラインで実践できるユニークな教材です。

演習の結果もKENROが自動判定してくれるため、24時間365日、いつでも学習できます。

figKENROの無料トライアルでログイン後に表示されるコンテンツ

無料トライアルでは、一般的な10種類の脆弱性の学習コンテンツについて一部の有料部分がマスキングされた状態で学ぶことができます。

マスキングされた状態でも、基本的な内容の多くはテキストを読むことができ、「ハッキング演習」26個のうち10個を、「堅牢化演習」9個のうち2個を実際に体験することができます(もちろん、有償版に申し込めばすべてのテキストを読み、演習が可能になります)。

このKENROで学べる脆弱性に関する知識や、対策を実践できる能力は、Web アプリケーション開発者が最低限持つべき基礎教養となりつつあるといえます。

具体的にどのような内容が学べるのか、KENROについてもう少し詳しく見ていきましょう。

10の主要な脆弱性について学べるコンテンツ

KENROの無料トライアルで学べるのは、以下の10のWebにおける主要な脆弱性についてです。なお、KENROではGraphQL、JWT、WebSocketの技術の基礎とセキュリティ対策を学ぶことができるコンテンツも別途有料で提供されています。

  • SQL Injection脆弱性
  • Cross-Site Scripting (XSS)脆弱性
  • Cross-Site Request Forgery (CSRF)脆弱性
  • OS Command Injection脆弱性
  • Directory Traversal脆弱性
  • Insecure Deserialization脆弱性
  • XML eXternal Entity (XXE)脆弱性
  • Open Redirection脆弱性
  • Clickjacking脆弱性
  • Header Injection脆弱性

1つ目の「SQL Injection脆弱性」を学んでみることにしましょう。

まず「SQLとは」という基本的な説明から始まり、続く「SQL Injection脆弱性とは」という項目で、この脆弱性についてコードの例を含む詳しい解説や、具体的な攻撃の例を学ぶことができます。

fig

解説を読み進めた後、この脆弱性を突いてハッキングを実際に行う「ハッキング演習」の項目が登場します。

ここではあなたが悪意を持つハッカーとして、実際に用意された環境で攻撃を行うのです。

fig

「演習環境へアクセス」ボタンをクリックすると、別ウィンドウでハッキング演習を行う環境が表示され、先ほど解説されたテクニックを用いて「admin」アカウントでの不正アクセスを目論みます。

fig

ハッキングに成功すると、特定のキーワードを得ることができます。そのキーワードを「回答を提出」欄に入力すると、ハッキングの成功が自動的に検出されます。

fig

ここまででSQL Injectionの脆弱性と、それが悪用されたときに何が起こりえるのか、といった危険性についての基本的な理解が得られました。

テキストによる解説はさらに続き、より深くSQL Injectionの危険性などについて学ぶことが出来ます。

脆弱性のあるコードを自分で修正し、提出すると自動採点

そして「SQL Injection脆弱性の対策」の項目で、対策のためにどのようなプログラミングを行うべきなのかが解説されます。

fig

ここでもテキストによる解説があり、そして脆弱性のあるコードを実際に修正する「堅牢化演習」が用意されています。

fig

演習では、実際に脆弱性のあるコードをダウンロードし、修正した後にアップロードすると自動的に解析され、正しく修正されたかどうかを判断してくれます。

修正対象のコードは、6つのプログラミング言語から選択可能。

fig

これをダウンロードし、圧縮ファイルを解凍。中に含まれているコードの中から脆弱性がある部分を探し出して修正し、再び圧縮して提出(アップロード)するのです。

提出したコードは解析され(解析には数分かかります)、正しく修正されていれば以下のメッセージが表示されます。

fig

KENROではこのようにしてさまざまな脆弱性に関する知識を身につけ、それを実際にプログラミングで試すことができます。

メールアドレスを登録するだけで無料トライアル開始

前述の通り、KENROの無料トライアルはメールアドレスを登録するだけで利用可能です。ぜひお試しください。

≫KENRO by Flatt Security

fig

(この記事は株式会社Flatt Security提供のタイアップ記事です)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
夏の停電対策に大切なこと :デジタル防災を始めよう(1/2 ページ)
くらテク
2021-08-22 18:18
GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023
GitHub
2023-11-10 02:32
星野リゾート、クラウド型のCRM/BIツールを導入–来館予約のキャンセルを半減
IT関連
2021-03-27 05:20
開会式で話題 ピクトグラム「新競技」、SNSで続々
IT関連
2021-08-06 17:49
AMD、fTPMが有効化された「Windows 11」での不具合を認める–回避策を提示
IT関連
2022-03-12 12:25
個人開発者はRed Hat Enterprise Linuxを無料で最大16システムまで利用可能に 本番環境もOK
クラウドユーザー
2021-01-23 09:34
データ分析のクラウド化を進めるテラデータ–ユーザーが望むのはマルチクラウド
IT関連
2022-02-04 12:06
臨床試験参加者を製薬会社に紹介しオーダーメイド医療研究を支援するSano Geneticsが3.5億円調達
バイオテック
2021-01-27 12:56
[速報]開発環境を丸ごとクラウドPC化する「Microsoft Dev Box」、7月に正式リリースと発表。Build 2023
Microsoft
2023-05-24 12:10
三井不動産、DXの新方針を表明–RAG構築やサイバーセキュリティの強化も
IT関連
2024-08-07 04:54
ブランドコマース事業展開のAnyMind Group、「Oracle NetSuite」で財務プロセス強化
IT関連
2024-07-18 11:06
日本IBMと三菱UFJ銀行、IIJ、地銀向け「金融ハイブリッドクラウド・プラットフォーム」を発表
IT関連
2024-10-03 11:01
「ChatGPT」を使ったアプリ開発–プロセスごとの活用方法とプロンプト例
IT関連
2023-08-31 00:41
コールマンと「リカちゃん」コラボ 「もくもくジュージュー」煙も出るバーベキューセット
くらテク
2021-04-22 20:30