Hello there, ('ω')ノ
サイバーの世界に入って1年半が経過しようとしたところに
自分の実力と海外のホワイトハッカーらとの実力の差を見せつけられて
どうしたらよいものかと悩む日が続いていました。
当時の実力のまま事業展開はできますが、エンジニアとしては納得いきませんし
いまのスキルでは、顧客に対しても失礼だと思っていました。
無知なことをいいことに足元をみて商売をする経営はいかがなものかと。
すでに目先のゴールはわかっています。
バグレポートを読みこなして理解できることです。
多くを経験するには時間がかかりますので、他人のレポートを読んで
疑似体験することでスキルを積み上げられると感じていました。
テストの方法論としてOWASP WSTGというものもあり
こちらも理解するところまでもっていければと思っていました。
ただ、すべては十分に理解できないスキルしかもってません。
いくら時間をかけて読んでも理解できません。
Juice Shopでのトレーニングも進められましたが、よい問題もあれば
CTF色が強すぎるものもあり、納得いくものではありませんでした。
それ以前に問題がおおざっぱすぎて、何を問われているのか
全くわかりませんでした。
システム構成もこれまでトレーニングをしてきたものとは違っていて
当時は、かなりハードルが高いように思えました。
そのような中、頭の中にはいつもHacker's Hand Book 2がありましたが
基礎力をつけるにはよいですが、今後の新しい脆弱性に対応できるものか
いつも不安におもっていました。
第 3 版を求めていたのですが、どうもPort Swigger社のWeb Security Academyで
展開することになったことを知り、こちらで基礎からトレーニングを
積み重ねる策へ出ました。
さっそく、問題を解いてみたのですが、あまりできなかった記憶があります。
ひとつは英語の翻訳がうまくいかず問題が理解できなかったのと
当然ながらスキルが低すぎたことが原因です。
とはいえ、何も知識がない人間がはじめからここで勉強して
スキルをつけようとするなら、全く歯が立たずに諦めてしまいそうです。
問題があまり解けなかったとはいえ、これまでの基礎力があったからこそ
なんとかスタートラインにつけたように思えます。
いつものことながら、できるところからやるといった方針で
わかるところをつぶしていった現在の自分の実力を把握したところで
少し勉強すればスキルにプラスできるところから取り組んでいったところです。
この進め方は解ける問題を増やすことで、モチベーションを保つのに効果的でした。
チームでやるのと一人でやるのとでは進め方は違ってくるのかもしれません。
Best regards, (^^ゞ
