Hello there, ('ω')ノ
OWASP BWAには、いくつかのセクションに分かれていて
多くのテスティングサイトがあります。
ただ、OWASP BWAについての使い方やマニュアルといったものは見当たらず
これまた、どのように使っていけばよいのかわかりませんでした。
はじめは日本のサイトで情報を収集しながら、OWASP ZAPも少しわかってきました。
ただ、あまりにも日本のサイトは情報量が少なくすぐに行き詰りました。
仕方なく海外のサイトで探すことに。
ここで、早くも次なる問題が発生です。
せっかくOWASP ZAPを使用すると決めていたのですが海外では
Burp Suiteを使用した例が大半でした。
Burp Suiteで書かれているものをわざわざOWASP ZAPに置き換えて考えるのも
OWASP ZAPを十分に理解すらしていない上に
非常に面倒なことで早くも使用するツールをBurp Suiteへ切り替えました。
Burp Suiteも無料版がありますので、これを使ってのスタートです。
OWASP BWAを何度もみていると一番上のセクションが脆弱性別に
メニューが分かれた構成になっているように思えました。
また、海外サイトの情報量も多いです。
とにかく情報がなければ前へ進むことができませんので理由なく
情報量の多いアプリケーションからスタートすることにしました。
当然ながらBurp Suiteの使い方もわからないまま見様見真似でトレーニング開始です。
なぜそうなるのか、どう考えたらそのようなことをするのか全くわかりません。
でもこれでいいと思っていました。
どのような手順で脆弱性を発見するのか、またどのような現象を見て脆弱性と
判断するのかといった流れがわからなければ元も子もありませんので。
とにかく、理解は後回しです。
OWASP BWAを解くマニュアルが見当たらないので、つくるところからです。
当時、このようにスタートできたのは、この業界に足を踏み入れてから
2か月が経過したあとのことです。
8月、9月が過ぎて10月のことでした。
誰も助けようとせず、理解すらしようとせず、毎日が不安だらけの生活でした。
Best regards, (^^ゞ