Hello there, ('ω')ノ
さっそくやるべきことも定まってきましたので
OWASP BWAと向き合う毎日となりました。
訳の分からないまま脆弱性別にどのようにBurp Suiteを操作して
どのようなペイロードを挿入して、どのような結果を得て脆弱性と判断をするのか
朝から晩までがむしゃらにやり続けました。
情報は、海外サイトから収集して翻訳して実行してみるといった繰り返しです。
頭が狂いそうな毎日です。
朝5時に起きて0時に寝るといった生活です。
土日もやってました。
残業時間は、毎月200時間超えです。
単にやるだけではなく記録というものはすべて残しておこうとおもい
このブログを開始しました。
今、読み返すと間違ったことをやっていたり、理解せずにやってたことが
いたるところに見え隠れします。
つまり、それがわかるということはスキルが上達したということです。
なるべく言葉を少なく、画像中心を心がけて開始しました。
スクリーンショットを毎回撮るのは面倒なのですが、慣れです。
これが、あとあと脆弱性診断報告を書くことが面倒でなくなるわけです。
10月から12月の3か月間は、このようなことばかりやっていました。
ポイントとしては脆弱性別に診断方法をとにかく記録し残します。
この時点では、脆弱性も診断方法も理解はしていませんが
Burp Suiteの使い方は先行して少し慣れてきました。
どの機能をメインとして使用するのかがわかってきて抵抗もなくなりました。
多くのメニューや機能がありますが、入門や初級レベルだと
使用する機能は非常に限られます。
やりはじめたころは、メニューがどこにあるか迷っていましたが
徐々に体が覚えてスムーズにあつかえるようになってきました。
同時に機能の意味も感覚的に覚えてきました。
大人になると頭も固くなり順序良くと思いがちですが
小学生らを見ていると感覚でスマートフォンやタブレットを操作しています。
あまり深く考えずに手を動かしまくることが操作方法を理解できる
最大の近道かと思います。
自転車に乗れるようになるときと同じです。
頭で考えても自転車には乗れませんので。
とにかく、OWASP BWAの脆弱性別のテスティングサイトを解くための
情報収集を行って実際にやってみるといった繰り返しで
Burp Suiteの使い方や意味合いは自然と理解できてきます。
それから、Burp Suiteのマニュアルを読むとスムーズに理解できると思います。
すべての機能を理解する必要はなく、使うものだけに限定します。
使わない機能を勉強しても忘れるだけで時間の無駄となります。
Best regards, (^^ゞ