今年4月頃から、WEBセキュリティのセミナーを尼崎の中小企業センターから始め、梅田ナレッジキャピタル、10月からはオンライン、11月からは有料化と様々な形態で駆け足でやって参りました。
WEBセキュリティの知識が求められていると実感もしましたし、私の教え方が下手で理解頂けなかったと反省することも多かったです。
今年最後は、テスティングサイトの手順を動画で見せるアプローチを試しました。
効率よくスキルアップする方法ですが、今、1つの仮設を立てていて、攻撃の概要を知ることも重要ですが、適した問題サイトの手順を覚えるのが有効でないかと思ってます。
今、私自身、portswiggerアカデミーの問題に取り組んでいるのですが、手順を覚える大事さを感じます。
ただ、手順をセミナー形式でやれば、とても時間がかかってしまうのですが、動画形式なら、好きな時間に好きなだけ進めることができます。
動画を見て、たくさん手順やツールの使い方を覚えて、分からないところだけ質問するというスタイルを試していければと考えてます。
アカデミーも手順が再現できないのは、英語に慣れてなかったり、手順・ツールに慣れてないだけで、日本語で手順が分かる動画や、テキストがあれば、再現可能で、手順に慣れていれば、診断するサイトでも出せる可能性があります。
少なくとも、どこに注意し、どんなペイロードを入れれば、脆弱性が出るかは分かりそうです。
来年は、bwappだけでなく、juiceshopやacademyの手順動画を配信し、手順やツールの使い方は、スムースにこなせるレベルに持っていければと思います。
参加者の皆様、今年1年、お付き合い頂いて有難うございました。
コメント