Hello there, ('ω')ノ
ようやく脆弱性診断を体験できる準備が整ったかと思います。
ここまでたどりつくのに調査したり試行錯誤で2カ月ほどかかったと記憶しています。
まったくゼロからのスタートなので、これくらいの時間はかかるもので。
さてOWASP BWAにはいろんなやられサイトが盛りだくさんです。
まずは、シンプルでわかりやすいDVWAから始められることをおすすめします。
ここでは、考えてもスキルは身についていないのでできるわけがありませんし、時間の無駄なのでネット上からやり方を見つけたりして体験することに集中されたほうがよいでしょう。
当ブログでもなるべく画像を多く、手順がわかりやすいように書いているつもりです。
同時にFireFoxの開発ツールやBurp Suiteの使い方に慣れるとよいでしょう。
Burp Suiteには多くのメニューがありますが、とりあえずは下記のメニューを目的に。
Proxy ー Intercept
Repeater
その他、下記のメニューも使う場面があるかもしれません。
Decoder
Intruder
はじめは、ツールの言葉にもなれず意味もわからないのは当然です。
人のやっているやり方を見ることでツールになじんで自然と身につくと思います。
無理やり理屈で覚えようとしなくても大丈夫です。
次にbWAPPへと進むとよいでしょう。
ただ、bWAPPはBee-Boxでないと確認できない脆弱性もありますので、Bee-Boxを別途個別に環境をつくられたほうがいいでしょう。
bWAPPは、脆弱性ごとにまとまめられていてシンプルなメニュー構成なのでお勧めです。
自己進捗管理として、脆弱性診断ガイドラインの各脆弱性についてどのやられサイトのどのメニューで体験できたかを追記していくと進捗具合が確認できます。
この2つのやられサイトでは、体験できないものもあったように記憶しておりますが、できるところからやっていくといったスタンスでよいでしょう。
Best regards, (^^ゞ