Hello there, ('ω')ノ

 

これまでの人生の中で、わからなくてもがむしゃらにやったことで

いつの間にか専門知識がついた経験は多々あります。

そのような経験があったので、必ず身につくと確信して

毎日、OWASP BWAの問題をBurp Suiteを使って解いていました。

中には、うまくいかないものやどうしてもやり方がわからないものもあります。

それはそれでいいかと思います。

 

全てをクリアするといった考えは不要です。

やれるところからやっていくといったスタンスです。

これは仕事においても共通します。

たとえば、セキュリティ対策であれもこれもとやり始めると挫折します。

欲張らずにできるところから確実にやっていくことが重要と考えます。

 

さて、Burp Suiteといったローカルプロキシツールを使用する際に

多くのメニューや機能があり、さらにはすべてが英語です。

ただし、テスティングサイトでトレーニングしているうちに使用する機能は

絞られますし、絞られた中で英語の数も絞られます。

１か月もすれば慣れますので悩む必要はありません。

 

他に悩むとすれば、リクエストとレスポンスの内容でしょうか。

ここで、挫折する方もおられるかと思います。

まじめな人ほどヘッダ情報のすべてを理解しようと思いますが不要です。

初級レベルで理解の必要なものは限られています。

トレーニングを行っている中で関係してくるヘッダ情報から

理解するとよいかと思います。

おそらく、リクエストとレスポンスを合わせても10個もないと思います。

ステータスコードも初めのうちは5個くらいでしょうか。

 

総じて、はじめからすべてを理解しようとせずに

わかるところから、また関係するところからというように範囲を絞って

取り組むことで、ストレスが軽減されやる気も継続できると思います。

また、人によっては勉強にとれる時間が限られていますが

初めのころは毎日、トレーニングしないと忘れがちです。

さらにはトレーニングをした時間に比例して理解する期間は短くてすむでしょう。

 

この３か月間で得られたものといえば、単なるやった感です。

脆弱性というものを十分に理解していないためやった感だけです。

そして、やった感のあとに再度、脆弱性の説明について勉強してみると

いくらかはすんなりと頭に入ってくるようになりました。

出てくる用語も馴染みもあり抵抗もなくなってきました。

馴染みがあるだけで、説明できるほどの理解はしていません。

 

ただ、脆弱性別に診断手順といったものはまとめられそうな気がしていました。

そこで、３か月後に経済産業省の「情報セキュリティサービス基準」に

適合するよう認定資格をとることを新たな目標として計画しました。

 

Best regards, (^^ゞ