Hello there, ('ω')ノ

 

WEBアプリケーションの脆弱性という分野にしぼったところで

まずは、誰もが行うであろう参考本探しです。

ほとんど、売ってません。

一応、少しでも脆弱性に関する内容が書いているものについては

すべて購入して読んでみましたが、求めているものとはかけ離れていました。

 

そこでいつものようにボリュームの把握です。

脆弱性といってもどのようなものがあるのかを列挙し始めました。

そうすると必ずOWASP TOP 10というものにぶちあたります。

４年に一度の更新とのことで過去にさかのぼり、すべての脆弱性を列挙しました。

ひとまずは、これらを理解することからと思い情報を収集してまとめるものの

まとめているだけでよくわかりません。

このような作業を淡々と毎日おこなっていました。

ただ、無駄だとは思っていませんでした。

専門用語に対する抵抗感もなくなり、慣れというものがでてきましたので

ストレスの軽減となります。

 

文章でまとめてはみたものの理解はできず、図を追加してみましたが

それでも十分に納得できるほどの理解はできませんでした。

これ以上は、無駄な作業だとおもい頭を切り替えます。

脆弱性の診断は、どのように行うかです。

自動診断とか手動診断とかツールだとかいろんなキーワードが出てきて

どのような違いがあるのかもわかりません。

ツールを使うのになぜ手動なのかも。

 

とりあえずは、ツールの洗い出しです。

OWASP ZAPやBurp Suite、Rapid7など無料のものや有料のものなど。

有料のものを購入して、セミナー等でノウハウを教えてもらうことも考えましたが

一般のソフトとは桁外れにライセンス料が高く手がでません。

そこで、頭の中にはOWASPというキーワードがインプットされており

OWASP ZAPは無料なので、このツールを使ってはじめることにしました。

 

Best regards, (^^ゞ