こんにちわ。WEBセキュリティセミナー講師の西です。
2022年、全30回程度、無料・有料のセミナーをさせて頂き、来年の方向性のお話しをさせて頂きます。
初学者は、まずは、WEB健康診断項目の概要を理解し、dvwa,bwappなどのテスティングサイトでの練習がいいと思うのですが、ある程度慣れたら次は何をすると効率良いスキルアップに繋がるか考えてみました。
結論を申しますと、次は、portswiggerのacademy問題を解法を見て、やっていくのがいいと思います。
3ヶ月や半年なり、bwappに取り組まれたなら、academy見習いレベルの問題は、もしかすると、解法を見て、クリアできるものもあるのではないでしょうか。
難易度が高まるにつれ、手順が多くなり、途中で1つでも間違えるとアウトですので、料理が得意な人など逆に有利かもしれません。
ここの能力をあげるには、少し難しい問題をトレース(解法を見てやる)するのが最適です。
いくら、理論を読んでも、クリアできるようになりません。
注. 解法を見ても、意味やツールの使い方が分からないところが多ければ、やはりbwappなどのテスティングサイトにもどったり、burpの練習が必要かもしれませんが。
私自身、ホストヘッダーアタック、スマグリング、JWT、プロトタイプポルーションなど、解説を読むととても難しく思えたのですが、実際に解法をみて問題をトレースしていった後に、再度解説を読むと体で覚えれたという感覚になりました。
もちろん、それで体得できたかというと、一通り理解したレベルですので、診断技術をあげたい、バウンティで獲りたいとなると、そこからさらにトレーニングは必要かと思います。
portswiggerが作ったリアルな、厳選された事例を100~200問とかトレースするのは、経験値を短期間であげるチャンスだと思います。
あと、academyのやるメリットは、burpの使い方をすごく覚えれます。
- proxyインターセプト / リピーター / イントルーダー 基本機能はもとより、
- イントルーダー(battering ram, pitchfork, nullペイロード, resource pool)
- コラボレーター
- マクロ(ビジネスロジック クーポンの欠陥でお金を増やしていったり)
- find comments / discovery content
- dom-invader / param-miner
- scan (active / passive)
portswiggerが売りにしているOASTの脆弱性を見つける機能で、コラボレーターがあるのですが、これでもかというくらいに問題に出てきますので、パラメータに、とりあえず、コラボレーターのURLを貼ってみようという感じで覚えれます。
portswiggerもburp proを売りたいので、academyで使い方を教えてくれている感じです。pro版がいる問題も多いのですが、これだけの機能を覚えれるのなら、年間4万は高くない気がします。
ハッカーバイブル2の著者が、3は出さない、academyに盛り込んだ。みたいな記事を読んだ気もしますが(間違っていたらすみません)、難読化、ヌルコード、ダブルエンコード、WAFバイパスなども問題に入っていて、自然と覚えれます。
こんないいことづくめのacademyですが、初めてacademyの問題でつまづいたときは、できる気がせず落ち込んだのを覚えてます。
エクスプロイトサーバーって何?とか、burpのどこにあるのそのメニュー?という感じで悩んだり、違うところで時間を使ってしまうことも多かったです。
ですので、初級者の方(bwappやっているくらい)ができるだけつまづかないように、手順をブログでアップしていく予定です。セミナーや動画での提供も予定してます。
来年は、academy入門への敷居を少しでも下げ、たくさんの問題に触れる中で、いつのまにか、概念はそんなに分かってないけど、侵入経路はどんどん見つけれるよとなるように、良質な教材・セミナーの提供に邁進して参ります。
来年も宜しくお願いいたします。
コメント