フィッシング 完了
フィッシングメール判定
架空の通知メールを読み、クリック前に報告すべき不審点を見つける演習です。
- 難易度
- 初級
- 所要時間
- 約8分
- 学べること
- 表示名と実ドメインのずれを見つける
- 表示名と実ドメインのずれを見つける
- 急かす文面やリンク誘導を切り分ける
- クリック前に報告する判断を言語化する
Mini CTF
ブラウザだけで安全に学ぶ、ミニCTF演習場
フィッシング、ログ解析、エンコード、認証と認可、secret leak初動を、攻撃環境なしで練習できます。 すべて架空データを使い、防御・確認・初動判断に絞った初心者向けの演習です。
演習を選ぶ
5件の演習を表示中
ログ解析 完了
アクセスログ解析
架空のWebアクセスログから、不審な管理画面探索の兆候を読み取る演習です。
- 難易度
- 初級
- 所要時間
- 約10分
- 学べること
- HTTPステータスコードの意味を読む
- HTTPステータスコードの意味を読む
- 短時間の連続アクセスと探索行動を見分ける
- 検知後に残すべき記録を整理する
エンコード基礎 完了
Base64 / エンコード基礎
Base64文字列を読み解き、エンコードと暗号化の違いを理解する演習です。
- 難易度
- 初級
- 所要時間
- 約7分
- 学べること
- Base64は暗号化ではなく表現形式であることを理解する
- Base64は暗号化ではなく表現形式であることを理解する
- 可逆なエンコードと秘密鍵が必要な暗号化を区別する
- ログや設定値に出るエンコード文字列を過信しない
認証・認可 完了
認証と認可の違い
架空の権限設定ミスから、認証ではなく認可の問題を見分ける演習です。
- 難易度
- 初級
- 所要時間
- 約9分
- 学べること
- 認証と認可の役割を区別する
- 認証と認可の役割を区別する
- ログイン済みでも操作権限が必要な理由を理解する
- 最小権限と権限レビューの観点を持つ
開発者セキュリティ 完了
GitHub secret leak 初動判断
架空の通知とcommit diffから、秘密情報漏えい時に最初に行うべき判断を学ぶ演習です。
- 難易度
- 初級
- 所要時間
- 約10分
- 学べること
- secret leak検知後の初動順序を理解する
- secret leak検知後の初動順序を理解する
- revokeとrotateの違いを説明できる
- 影響範囲確認と監査ログ確認を初動に含める
Next Step