Hello there, ('ω')ノ
https://portswigger.net/web-security/getting-started/kamil-vavra
Kamil Vavraさんとは?
- チェコ出身のアプリケーションセキュリティエンジニア
- 約14歳からハッキングを始め、15年以上スキルを磨く
- PortSwigger Web Security Academy「Hall of Fame」ランキングで2位(インタビュー時点)
- セキュリティコミュニティへの還元・知識の共有にも情熱を持つ
主なインタビュー内容まとめ
1. 英語とハッキングスキルの両立
- 最初は英語が全くできなかったが、XSSやSQLiなどOWASP Top 10の脆弱性は理解していた
- 英語を習得してから、書籍やブログでさらに世界が広がった
2. バグバウンティとの出会い
- 2016年ごろ、「right to left override」という珍しい脆弱性を発見し、DropboxやEdge Browserなどに報告
- いくつかの企業からバウンティ(報奨金)を受け取り、バグバウンティ活動に本格的にのめり込む
3. Burp Suiteとの付き合い方
- 長年Community Editionを使い、初バウンティ獲得後にPro版を購入
- 日常業務ではPro版、開発者教育ではCommunity版を活用
- 拡張機能や設定の柔軟さ、シンプルさを高く評価
4. Web Security Academyとの出会いと活用
- 無料で学習教材とラボが提供されていることに感動し、すぐに取り組み始めた
- 最初に学んだ脆弱性はXSSで、今でもお気に入り
- 認証(Authentication)トピックの2FAバイパスラボには特に感銘を受け、夜通し取り組んだ
5. 仕事・キャリアへの影響
- 職場のスキル評価指標にAcademyの進捗を組み込んでもらい、キャリアアップに直結
- 有料認定よりも、実践的なスキルが身につくAcademyの進捗を重視
6. 学習コミュニティと仲間
- 新しいラボが公開されると、すぐに挑戦するほど熱中
- 他の上位ユーザー(Bella DeShantz-Cookさん、Johnny Villarrealさん)と交流し、情報交換・助け合いができる仲間ができた
7. 学びと実践の循環
- Academyで学んだ技術を、実際の仕事やバグバウンティで即活用できた経験が多数
- 例:Webキャッシュポイズニングのラボを解いた直後、実際のWebサイトで同じ脆弱性を発見・悪用できた
8. PortSwigger Researchの価値
- ブログやリサーチ記事をすべて読むほど熱心
- 研究内容が最新で実践的なので、Burp Suite本体よりも価値を感じている
9. 初学者へのアドバイス
- ラボの数に圧倒されず、焦らずコツコツ進めること
- 1つのトピックを集中して取り組み、終わったら次へ進むスタイルがおすすめ
- 6ヶ月以上かけて全ラボをクリアした
10. 今後の目標
- いつか本を書いてみたい(チェコ語で若い人向けの教材が少ないため)
- 知識の共有・発信を今後も続けていきたい
- プロも初心者もラボを繰り返し解くことでスキルを維持・向上できる
まとめ
Kamilさんは、「知識の共有・コミュニティへの貢献」を大切にしながら、
PortSwigger Web Security Academyを最大限活用してキャリアアップ・実践力向上を実現した好例です。
- 無料で高品質な教材・ラボを活用し、実践力を磨く
- 焦らず継続し、仲間と情報交換しながら学ぶ
- 学んだことを実務やバグバウンティで即活用する
初学者からプロまで、どんなレベルの人にも参考になるインタビューです。
「自分もできる!」と勇気をもらえる内容なので、ぜひ一度全文を読んでみてください。
Best regards, (^^ゞ
