shikata ga nai

Private? There is no such things.

最短で効率よく脆弱性診断スキルを身につける体験談についてかいてみた⑤

Hello there, ('ω')ノ

 

ようやく脆弱性診断を体験できる準備が整ったかと思います。

ここまでたどりつくのに調査したり試行錯誤で2カ月ほどかかったと記憶しています。

まったくゼロからのスタートなので、これくらいの時間はかかるもので。

さてOWASP BWAにはいろんなやられサイトが盛りだくさんです。

まずは、シンプルでわかりやすいDVWAから始められることをおすすめします。

ここでは、考えてもスキルは身についていないのでできるわけがありませんし、時間の無駄なのでネット上からやり方を見つけたりして体験することに集中されたほうがよいでしょう。

当ブログでもなるべく画像を多く、手順がわかりやすいように書いているつもりです。

 

f:id:ThisIsOne:20210824121642p:plain

 

同時にFireFoxの開発ツールやBurp Suiteの使い方に慣れるとよいでしょう。

Burp Suiteには多くのメニューがありますが、とりあえずは下記のメニューを目的に。

 Proxy ー Intercept

 Repeater

 

その他、下記のメニューも使う場面があるかもしれません。

 Decoder

 Intruder

 

はじめは、ツールの言葉にもなれず意味もわからないのは当然です。

人のやっているやり方を見ることでツールになじんで自然と身につくと思います。

無理やり理屈で覚えようとしなくても大丈夫です。

 

f:id:ThisIsOne:20210824122421p:plain

 

次にbWAPPへと進むとよいでしょう。

ただ、bWAPPはBee-Boxでないと確認できない脆弱性もありますので、Bee-Boxを別途個別に環境をつくられたほうがいいでしょう。

bWAPPは、脆弱性ごとにまとまめられていてシンプルなメニュー構成なのでお勧めです。

 

f:id:ThisIsOne:20210824123959p:plain

 

自己進捗管理として、脆弱性診断ガイドラインの各脆弱性についてどのやられサイトのどのメニューで体験できたかを追記していくと進捗具合が確認できます。

この2つのやられサイトでは、体験できないものもあったように記憶しておりますが、できるところからやっていくといったスタンスでよいでしょう。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain