Hello there, ('ω')ノ
https://portswigger.net/web-security/all-topics
「All topics」ページでは、Webセキュリティに関するすべての主要トピックが体系的にまとめられています。ここから各トピックの解説やラボにアクセスでき、基礎から応用まで幅広く学ぶことができます。
以下、主なトピックカテゴリと代表的な内容を、初学者にも分かりやすく説明します。
1. サーバーサイド脆弱性(Server-side vulnerabilities)
特徴
- 初学者におすすめ
- サーバー側で発生する脆弱性。仕組みが理解しやすい
主なトピック例
SQL Injection(SQLインジェクション)
データベースへの不正な命令注入。多くの情報漏洩事件の原因となった代表的な脆弱性。OS Command Injection(OSコマンドインジェクション)
サーバーでシステムコマンドを不正に実行させる攻撃。File Upload Vulnerabilities(ファイルアップロード脆弱性)
不正なファイルをアップロードしてサーバーを乗っ取る攻撃。Path Traversal(パストラバーサル)
本来アクセスできないファイルに不正アクセスする攻撃。
2. クライアントサイド脆弱性(Client-side vulnerabilities)
特徴
- サーバーサイドよりやや難易度が高い
- ブラウザやユーザー側で発生する脆弱性
主なトピック例
Cross-site Scripting (XSS)(クロスサイトスクリプティング)
悪意のあるスクリプトを他のユーザーのブラウザで実行させる攻撃。非常に多く見られる。Cross-site Request Forgery (CSRF)(クロスサイトリクエストフォージェリ)
ユーザーの意図しない操作を第三者が実行させる攻撃。Clickjacking(クリックジャッキング)
ユーザーに気づかれずにボタンなどをクリックさせる攻撃。
3. アクセス制御・認証(Access control & Authentication)
特徴
- ユーザーの権限管理やログイン機構に関する脆弱性
主なトピック例
Broken Access Control(アクセス制御の不備)
権限のないユーザーが本来アクセスできない情報や機能にアクセスできてしまう問題。Authentication vulnerabilities(認証の脆弱性)
パスワード管理やログイン処理のミスを突く攻撃。
4. ビジネスロジック・設計ミス(Business logic & Design flaws)
特徴
- サービスの設計や仕様のミスを突く攻撃
主なトピック例
- Business logic vulnerabilities(ビジネスロジックの脆弱性)
サービスの使い方や流れのミスを悪用する攻撃。
5. 最新・高度な脆弱性(Advanced & Modern topics)
特徴
- より深い知識や最新技術が必要
- セキュリティ研究者による新しい攻撃手法も含む
主なトピック例
Prototype Pollution(プロトタイプ汚染)
JavaScriptの仕様を悪用した攻撃。Web Cache Deception(ウェブキャッシュ騙し)
キャッシュの挙動を悪用して情報を盗む攻撃。GraphQL vulnerabilities(GraphQLの脆弱性)
新しいAPI仕様であるGraphQL特有の弱点。
6. 認定試験・実践チャレンジ(Certification & Challenges)
特徴
Burp Suite Certified Practitioner
PortSwiggerが提供する公式認定試験。実践的なスキルを証明できる。Mystery lab challenge(ミステリーラボチャレンジ)
どんな脆弱性があるか分からない状態で、総合的な調査・分析力を試すことができる特別なラボ。
初学者向けの学習アドバイス
- まずは「サーバーサイド脆弱性」から始めるのがオススメ
仕組みが分かりやすく、基礎力が身につきます。 - 各トピックには解説記事とラボ(演習)がセット
理論と実践をバランスよく学べます。 - 難しいと感じたら他のトピックに移ってOK
後から戻って再挑戦できるので、無理なく進めましょう。
PortSwigger Web Security Academyの「All topics」ページは、
「何を学べばいいか分からない」人でも、体系的にウェブセキュリティを学べる入口です。
自分の興味やレベルに合わせて、少しずつ進めていきましょう!
Best regards, (^^ゞ
