Hello there, ('ω')ノ

 

Secure Coding Dojoの構成については、以下のとおりで。

■３つの異なる学習モジュール

　2017：黒帯

　2018：２つ目の黒帯

　2019：セキュリティコードレビューマスタ

■３４個のレッスン

 

 

トレーニング教材

■2017：黒帯

　このモジュールは、SANS Top25に基づいています。

　最も危険なソフトウェアの欠陥。

　レッスンは、脆弱性、エクスプロイト、およびソフトウェア防御の概念を。

　紹介することを目的としたエントリーレベルの難易度です。

■2018：２つ目の黒帯

　OWASP Top10（v2017）に基づくCTFのようなモジュール。

　参加者は、世界規模のマルウェアキャンペーンで

　使用されているクラウドアプリケーションを停止します。

■2019：セキュリティコードレビューマスタ

　開発者は、セキュリティ要素をコードレビューに適用する方法を学びます。

 

 

■2017：黒帯

・チャレンジ名

　黄帯：重要な機能の認証がありません

　黄帯：セキュリティ決定における信頼できない入力への依存

　黄帯：認証がありません

　橙帯：機密データの暗号化が欠落している

　橙帯：壊れたまたは危険な暗号化アルゴリズムの使用

　橙帯：ソルトなしの一方向ハッシュの使用

　緑帯：パスワード推測攻撃

　緑帯：整数のオーバーフローまたはラップアラウンド

　緑帯：整合性チェックなしのコードのダウンロード

　紫帯：オープンリダイレクト

　紫帯：クロスサイトスクリプティングおよび関連する欠陥

　紫帯：クロスサイトリクエストフォージェリ（CSRF）

 

　青帯：危険なタイプのファイルの無制限のアップロード

　青帯：XML外部エンティティ参照の不適切な制限

　青帯：パストラバーサル

 

　茶帯：不正な認証

　茶帯：OSコマンドインジェクション

　茶帯：SQLインジェクション

　黒帯：クラシックバッファオーバーフローおよび関連する欠陥

　黒帯：外部制御のフォーマット文字列の使用

 

 

■2018：２つ目の黒帯

・チャレンジ名

　セキュリティの設定ミス

　機密データの公開

　壊れた認証と壊れたアクセス制御

　クロスサイトスクリプティング

　インジェクション

　XML外部エンティティ

　既知の脆弱性と安全でないデシリアライズを備えたコンポーネントの使用

 

 

■2019：セキュリティコードレビューマスタ

・チャレンジ名

　入力検証

　パラメータ化されたステートメント

　メモリのベストプラクティス

　データの保護

　クロスサイトスクリプティングの防止

　間接オブジェクト参照

 

 

Best regards, (^^ゞ