一般社団法人BOSS-CON JAPANの内部組織であるPHP技術者認定機構は2020年7月15日、Webセキュリティの実務知識を問う試験「ウェブ・セキュリティ実務知識試験」(通称:徳丸実務試験)を2021年4月から開始すると発表した。本試験に先立ち、ベータ試験を2020年12月に実施する。試験問題はEGセキュアソリューションズ(代表:徳丸浩)が作成する。
ウェブ・セキュリティ実務知識試験は、Webセキュリティの実務知識を問う試験である。セッション管理や認証/認可、文字コードといった、Webセキュリティに関連した基礎知識から、SQL呼び出しやファイルアクセスなどWebアプリケーションを構成する機能別のバグと脆弱性、脆弱性への対策方法、開発体制、――などをカバーする。
設問数は50問で、70%正解で合格となる。受験料金(税別)は1万2000円。全国のオデッセイコミュニケーションズCBTテストセンターで実施する。推奨前提知識は、PHP7技術者認定初級試験合格レベルのPHPの知識。試験の主教材は『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』(SBクリエイティブ)。
出題範囲は、以下の通り。
- 1章 Webアプリケーションの脆弱性とは
- 脆弱性とは、「悪用できるバグ」
- 脆弱性があるとなぜ駄目なのか
- 脆弱性が生まれる理由
- セキュリティバグとセキュリティ機能
- 本書の構成
- セキュリティガイドラインとの対応
- 2章 実習環境のセットアップ
- 実習環境の概要
- Firefoxのインストール
- VirtualBoxのインストール
- 仮想マシンのインストールと動作確認
- OWASP ZAPのインストール
- Firefoxの拡張FoxyProxy-Standardのインストール
- OWASP ZAPを使ってみる
- Webメールの確認
- 3章 Webセキュリティの基礎 ~ HTTP、セッション管理、同一オリジンポリシー
- HTTPとセッション管理
- 受動的攻撃と同一オリジンポリシー
- CORS(Cross-Origin Resource Sharing)
- 4章 Webアプリケーションの機能別に見るセキュリティバグ
- Webアプリケーションの機能と脆弱性の対応
- 入力処理とセキュリティ
- 表示処理に伴う問題
- SQL呼び出しに伴う脆弱性
- 「 重要な処理」の際に混入する脆弱性
- セッション管理の不備
- リダイレクト処理にまつわる脆弱性
- クッキー出力にまつわる脆弱性
- メール送信の問題
- ファイルアクセスにまつわる問題
- OSコマンド呼び出しの際に発生する脆弱性
- ファイルアップロードにまつわる問題
- インクルードにまつわる問題
- 構造化データの読み込みにまつわる問題
- 共有資源やキャッシュに関する問題
- Web API実装における脆弱性
- JavaScriptの問題
- 5章 代表的なセキュリティ機能
- 認証
- アカウント管理
- 認可
- ログ出力
- 6章 文字コードとセキュリティ
- 文字コードとセキュリティの概要
- 文字集合
- 文字エンコーディング
- 文字コードによる脆弱性の発生要因まとめ
- 文字コードを正しく扱うために
- まとめ
- 7章 脆弱性診断入門
- 脆弱性診断の概要
- 脆弱なサンプルアプリケーションBad Todo
- 診断ツールのダウンロードとインストール
- Nmapによるポートスキャン
- OpenVASによるプラットフォーム脆弱性診断
- OWASP ZAPによる自動脆弱性スキャン
- OWASP ZAPによる手動脆弱性診断
- RIPSによるソースコード診断
- 脆弱性診断実施上の注意
- まとめ
- 脆弱性診断報告書のサンプル
- 8章 Webサイトの安全性を高めるために
- Webサーバーへの攻撃経路と対策
- なりすまし対策
- 盗聴・改竄対策
- マルウェア対策
- まとめ
- 9章 安全なWebアプリケーションのための開発マネジメント
- 開発マネジメントにおけるセキュリティ施策の全体像
- 開発体制
- 開発プロセス
- まとめ
なお、2020年7月15日から、Wenセキュリティの基礎知識を問う「ウェブ・セキュリティ基礎試験」(通称:徳丸基礎試験)を開始した。全国のオデッセイコミュニケーションズCBTテストセンターで実施している。
