トップ > 試験概要 > ウェブ・セキュリティ試験(通称:徳丸試験)

ウェブ・セキュリティ試験(通称:徳丸試験)

ユーザー、開発者のためのウェブセキュリティに対する知識と知見を評価する試験です。

運営団体:PHP技術者認定機構 公式サイト

試験科目

ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)

問題数 40問
出題形式 選択式
試験方法 コンピューター上で実施するCBT(Computer Based Testing)形式
試験時間 60分
合格基準 7割正解
受験料 一般価格 11,000円(10,000円+消費税10%)
学割価格 5,500円(5,000円+消費税10%)

※学割価格の対象者は、「学割価格の対象となる学生と教員」をご覧ください。学割価格で受験する方は、試験会場へお申込みの際に学割価格で申込みすることと所属する学校名をお伝えください。試験当日は、必ず「学生証」もしくは「教員証」をご持参ください。
出題範囲
項 目
1章 Webアプリケーションの脆弱性とは
 1.1 脆弱性とは、「悪用できるバグ」
 1.2 脆弱性があるとなぜ駄目なのか
 1.3 脆弱性が生まれる理由
 1.4 セキュリティバグとセキュリティ機能
 1.5 本書の構成
 1.6 セキュリティガイドラインとの対応
2章 実習環境のセットアップ
 2.1 実習環境の概要
 2.2 Firefoxのインストール
 2.3 VirtualBoxのインストール
 2.4 仮想マシンのインストールと動作確認
 2.5 OWASP ZAPのインストール
 2.6 Firefoxの拡張FoxyProxy-Standardのインストール
 2.7 OWASP ZAPを使ってみる
 2.8 Webメールの確認
3章 Webセキュリティの基礎 ~ HTTP、セッション管理、同一オリジンポリシー
 3.1 HTTPとセッション管理
 3.2 受動的攻撃と同一オリジンポリシー
 3.3 CORS(Cross-Origin Resource Sharing)
4章 Webアプリケーションの機能別に見るセキュリティバグ
 4.1 Webアプリケーションの機能と脆弱性の対応
 4.2 入力処理とセキュリティ
 4.3 表示処理に伴う問題
 4.4 SQL呼び出しに伴う脆弱性
 4.5 「 重要な処理」の際に混入する脆弱性
 4.6 セッション管理の不備
 4.7 リダイレクト処理にまつわる脆弱性
 4.8 クッキー出力にまつわる脆弱性
 4.9 メール送信の問題
 4.10 ファイルアクセスにまつわる問題
 4.11 OSコマンド呼び出しの際に発生する脆弱性
 4.12 ファイルアップロードにまつわる問題
 4.13 インクルードにまつわる問題
 4.14 構造化データの読み込みにまつわる問題
 4.15 共有資源やキャッシュに関する問題
 4.16 Web API実装における脆弱性
 4.17 JavaScriptの問題
5章 代表的なセキュリティ機能
 5.1 認証
 5.2 アカウント管理
 5.3 認可
 5.4 ログ出力
6章 文字コードとセキュリティ
 6.1 文字コードとセキュリティの概要
 6.2 文字集合
 6.3 文字エンコーディング
 6.4 文字コードによる脆弱性の発生要因まとめ
 6.5 文字コードを正しく扱うために
 6.6 まとめ
7章 脆弱性診断入門
 7.1 脆弱性診断の概要
 7.2 脆弱なサンプルアプリケーションBad Todo
 7.3 診断ツールのダウンロードとインストール
 7.4 Nmapによるポートスキャン
 7.5 OpenVASによるプラットフォーム脆弱性診断
 7.6 OWASP ZAPによる自動脆弱性スキャン
 7.7 OWASP ZAPによる手動脆弱性診断
 7.8 RIPSによるソースコード診断
 7.9 脆弱性診断実施上の注意
 7.10 まとめ
 7.11 脆弱性診断報告書のサンプル
8章 Webサイトの安全性を高めるために
 8.1 Webサーバーへの攻撃経路と対策
 8.2 成りすまし対策
 8.3 盗聴・改ざん対策
 8.4 マルウェア対策
 8.5 まとめ
9章 安全なWebアプリケーションのための開発マネジメント
 9.1 開発マネジメントにおけるセキュリティ施策の全体像
 9.2 開発体制
 9.3 開発プロセス
 9.4 まとめ
学習方法
認定テキスト

主教材(認定市販教材)

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版
  • 徳丸 浩 著
  • 定価:3,520円(税込)
  • 単行本:688ページ
  • ISBN  978-4797393163
  • 発売日:2018/6/21
  • 出版社:SBクリエイティブ
認定スクール

試験の運営団体であるPHP技術者認定機構から以下のサイトが紹介されています。

認定スクール

予行問題

ウェブ・セキュリティ基礎試験の模擬問題と解説、試験のレベルや学習する上で大切なことを動画でご紹介しています。

ウェブ・セキュリティ基礎試験 予行問題
再受験に関するルール 同一科目に対して2回目の受験については制限がありませんが、3回目以降の受験は前回の試験日から7日間(24時間×7=168時間)は受験できません。
このページの先頭に戻る

受験の流れ

1.試験のお申込み

試験会場を検索して、会場に直接お申込みください。
[試験会場を探す]

  • ※試験実施日やお申込み方法は、試験会場によって異なります。
  • ※試験実施日が表示されていない場合は、試験会場へ受験希望日をご相談ください。
  • ※未成年の方は、保護者の同意を得たうえでお申込みください。

2.Odyssey IDの登録

受験には、Odyssey IDの登録(無料)が必要です。事前に登録を済ませ、試験会場へお越しください。
[Odyssey IDの登録] Odyssey ID登録手順(PDFファイル 824KB)

3.試験当日

お申込み時に指定した日時、会場で受験してください。
当日の持ち物は下記ページより、必ずご確認ください。
[当日の持ち物]

4.試験結果

試験結果(合否)は、試験終了直後に判定されます。
試験終了後、「試験結果レポート」をお渡しします。

合格した方は、試験終了直後からご自身の合格をWebサイトで証明できます。
詳細は、合格者の照会をご覧ください。

5.合格認定証の送付

合格した方には、4~6週間以内に合格証を郵送します。

履歴書の記載例
ウェブ・セキュリティ基礎試験 合格

このページの先頭に戻る

学割価格の対象となる学生と教員

試験当日に、学生証もしくは教員証を提示した小学校、中学校、高等学校、短期大学、大学、大学院、高等専門学校、専修学校、専門学校ほか、PHP技術者認定機構の認める学校に在籍する児童・生徒・学生・教員の方が学割価格の対象となります。

【PHP技術者認定機構が認める学校、学生】
  • 予備校生(本科生、学割証の発行される予備校生)
  • 各種学校で1年以上の連続した就学期間による授業が定められたコースに通う学生(学割証の発行される学生)
  • 留学生などでISIC(International Student Identity Card)を所持している者
  • 盲学校、聾学校、養護学校
  • 防衛医科大学校、気象大学校、海上保安大学校、航空保安大学校、水産大学校、航空大学校、農業者大学校、海技大学校、職業能力開発総合大学校、各職業能力開発大学校、職業能力開発短期大学校、農業系の大学校・短期大学校、産業技術系の大学校
このページの先頭に戻る

一般社団法人BOSS-CON JAPAN
PHP技術者認定機構 事務局(吉政創成株式会社内)

公式サイト https://www.phpexam.jp/
公式Twitter @phpexam
公式Facebook https://www.facebook.com/phpexam.jp/

このページの先頭に戻る