shikata ga nai

Private? There is no such things.

脆弱性診断のトレーニング環境についてかいてみた

Hello there,

 

脆弱性診断をするための前提知識を習得したら。

次は、脆弱性の種類について理解し。

どのように診断するかといった流れになるかと思いますが。

脆弱性診断をトレーニングする環境を並行して整えておくのもよいかと。

 

トレーニングサイトは、仮想で構築することになり。

DockerもしくはVirtual Boxが必要となり。

現時点での情報量としては、Virtual Boxのほうが多いのかなと。

しかしながら、手軽さや軽さからするとDockerをお勧めしたく。

Dockerもあまり詳しく覚えようとせずに、必要な手順とコマンドさえわかる程度で。

もちろん実機への環境構築でも大丈夫ですが。

 

次にブラウザですが。

これは好みの問題でもあったりしますが。

Firefoxだと標準状態でセキュリティ機能がないので診断の妨げにならず。

とはいっても、Chromeでも無効にすることはできて。

また、Firefoxはプロキシ設定がOSと切り離してできたりで。

お勧めは、Firefoxを診断専用として使用するのがよいのかなと。

 

それからローカルプロキシツールというものがありまして。

WEBサーバとブラウザ間での通信途中で、パラメータを確認したり変更したりと。

完全無料なのは、OWASP ZAPですが。

Burp Suiteも無料版があって。

ただ、無料版だとちょっと物足りなくてPro版が年間399ドルといったところでして。

ツールについては、使い勝手や長所と短所があるのでひとつに絞らずに。

2つくらいは、使えるようになったほうがいいのかなと。

もちろん、お金さえあれば便利なツールはいくらでもありますが。

 

f:id:ThisIsOne:20191228130450p:plain

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain