Hello there, ('ω')ノ
PortSwiggerの学習量は、これまでやってきた初級レベルの脆弱性診断ガイドラインと比較しても遥かに多くて深いと思われます。
一通りやるだけでも半年はかかるのではないでしょうか。
復習も兼ねると1年を要したりもします。
わからないところは、とりあえずは答えを見つけてやってみて、他の問題を進めているうちに再度、挑戦してみると理解できることが多々あります。
さらにPortSwiggerで学習をしていると、Burp Suiteの使い方もワンランク上がると思います。
たとえば、コラボレータやCSRF PoCだったり、拡張機能だったりと。
すべて英語なので、英語が苦手な方は自動翻訳機能を正しく使うことで、楽に手短に翻訳するスキルを身につけておくとよいでしょう。
ポイントは、なるべく文章を区切りのよいところで改行することです。
なぜか自動翻訳機能を使っていても自然と英語は身につくものです。
他にYouTubeだと文字起こしがあるものについては、コピーしてエクセルに貼り付けて、簡単なVBAで文字を結合して翻訳するのもありかと思います。
ただ、文字起こしは完璧でないので少々要注意ですが。
ここで、はじめに難しくてスルーしたWSTGを再度、見ることにしましょう。
驚くほどにすんなりと理解できるかと思います。
何事も諦めずにやりきることです。
https://owasp.org/www-project-web-security-testing-guide/v42/4-Web_Application_Security_Testing/
企業のサイトを攻撃してくる大半は、海外からです。
脆弱性診断ガイドラインレベルでは、守ることはできません。
ガイドラインのレベルをWSTGに引き上げて、自分なり自社なりのガイドラインやチェックリストを作成するとよいでしょう。
自分も試行錯誤しながら作成していますが、マインドマップに思いついたことを随時まとめていくのもありかと思います。
しっかりとまとめておかないと診断項目も多いので作業の漏れが発生しますので。
Best regards, (^^ゞ
