PortSwiggerのWeb Security Academyで脆弱性とBurpSuiteを学習する
前回、portswiggerのサイトからBurpSuiteをインストールしました。
・・・で、portswiggerのサイトを良く見ると
「Web Security Academy」(ウェブセキュリティ学校)なるものがあるのです。
ひょっとしたら、Web Security AcademyでBurpSuiteを利用して学習が出来るのではないかと思い、調べてみました。
Web Security Academyとは
Web Security Academyは、PortSwigger社が提供するオンラインのセキュリティ教育プラットフォームです。
このプラットフォームでは、Webアプリケーションのセキュリティに関連するトピックやスキルを学ぶことができるそうです。
Web Security Academyでは、実際の脆弱性を持つWebアプリケーションを使用して、セキュリティに関する実践的な知識を習得することができます。脆弱性の見つけ方や悪用の方法を学ぶことができるだけでなく、脆弱性の種類や攻撃手法に関する理解を深めることもできます。
Web Security Academyでは、以下のようなトピックを学ぶことができます:
- クロスサイトスクリプティング(XSS)
- クロスサイトリクエストフォージェリ(CSRF)
- インジェクション攻撃(SQLインジェクション、OSコマンドインジェクションなど)
- 認証とセッション管理の脆弱性
- セキュアな通信(HTTPS、SSL / TLS)
- セキュリティヘッダー(CSP、X-Frame-Options、XSS-Protectionなど)
- アクセス制御の問題(IDOR、権限エスカレーションなど)…
Web Security Academyは、セキュリティ専門家や開発者、セキュリティに関心のある個人が、実践的なセキュリティスキルを習得するための貴重なリソースです。また、PortSwiggerが開発した有名なツールであるBurp Suiteの使用方法も学ぶことができます。
Web Security Academyの入会方法
このAcademyはメールの登録だけで、無料で利用出来ます。
1.Web Security Academyのページに移動します。
2.Sign upボタンを押下すると、「Create your account(アカウント作成)」画面が表示されますので、メールアドレスを入力して、「Register」ボタンを押下します。
3.「ありがとう。 登録を完了する方法については、電子メールをご確認ください。」とあるので、登録したメールアドレスを開きます。
4.メールを見るとPortSwiggerからメールが来ています。
5.「Complete your registration(登録を完了してください)」とあるので、「Click here」をクリックします。
6.「Please enter your details to complete your registration.(名前を入力して登録を完了してください。)」とありますので、貴方の名前を入力して「Register」ボタンを押下します。
7.「account password(アカウントのパスワード)」が表示されます。
これが、Web Security Academyのパスワードになります。
「名前」と「パスワード」を忘れないようにしてくださいね。
8.次に、「LOGIN TO YOUR ACCOUNT」ボタンを押下してログインしましょう。
9.ログイン画面が表示されました。さきほど登録した「メールアドレス」と「パスワード」を入力して「Login」ボタンを押下します。
10.登録が完了して、ログインができました。
Web Security Academyで何が出来るのか?
1.私は英語が得意ではないので、Web Security Academyを日本語に変更します。
ブラウザ「Microsoft Edge」または「Google Chrome」の画面で、右クリックして「日本語に翻訳」の項目をクリックするだけです。
日本語化が完了しました。
【ここは超重要です!!】
※私は通常、Google Chromeのブラウザを利用するのですが、Web Security Academyの学習には「Microsoft Edge」を利用します。
それは、
- 学習が日本語で出来る。
- 学習中に表示されているYouTubeの「字幕」が日本語化できる。
Microsoft EdgeブラウザでWeb Security Academyの記事に埋め込まれているYouTubeの動画字幕を日本語にして見る方法は
※ちょっとややこしいですが、慣れれば問題ありません。
(1)記事中に動画が埋め込まれています。
(2)動画の中で「右クリック」して、「動画のURLをコピー」をクリックします。
(3)「Ctrl + T」で新しいタブを開きます
(4)新しいタブのアドレス欄に「Ctrl + V」で、先ほどコピーした動画のURLを貼り付けて、エンターボタンを押下します。
(5)YouTubeのページに先ほどの動画が表示されました。
(6)動画下部の「歯車」のボタンを押下します。
(7)「字幕」をクリックします。
(8)もし、英語字幕になってなければ、「英語字幕」に変更します。
(9)次に、ブラウザ上で動画以外の所(赤色の部分)を右クリックして「日本語に翻訳」をクリックします。
(10)これで、YouTubeを再生すると英語字幕が日本語字幕に変更されました。
絶対にお薦めです。
2.「新しいトピック:サーバー側のプロトタイプ汚染」
の下部にある「もっと詳しく知る→」押下しましょう。
3.「サーバーサイドのプロトタイプ汚染」の学習ページに移動しました。
右のサイドバーを見ると、「進捗状況を追跡する」の箇所に「すべて見る」のボタンを押下します。
4.「すべての学習教材」のページが表示されます。
「詳細図を見る」をクリックします。
5.「すべての学習教材 – 詳細」のページが表示されます。
Web Security Academyの学習の目次になります。
これを順番に学習すれば良いと思います。
これらをマスターするだけでも、莫大な技術を習得することになりますね。
目次の一番最初の「学習パス」
Webセキュリティ アカデミーを最大限に活用する方法は次のとおりです。
Webセキュリティを初めて使用する場合、どこから始めればよいのかわからないかもしれません。そのため、私たちはあなたを正しい方向に導くために、この推奨学習パスを作成しました。ラボを進めながら完了することをお勧めしますが、行き詰まった場合は、恐れずに次のトピックに進んでください。スキルをさらに向上させたら、より難しいラボに戻ることができます。
Web セキュリティ テストのスキルを構築し始めたら、 Burp Suite Certified Practitioner認定を利用してテストを受けることができます。Burp Suite 認定プラクティショナー試験に挑戦する準備が整う前に、Web セキュリティ アカデミー内の「プラクティショナー」以下のラベルが付いたすべてのラボを快適に完了できる必要があります。ラボを完了するための設定された時間枠はありませんが、提供されるソリューションへのアクセスを必要とせずに完了できる必要があります
とありました。
最初の「SQLインジェクション」を学習する。
「ラーニングパス」→「サーバー側のトピックからSQLインジェクション」
で「SQLインジェクション」のページを開きます。
日本語に翻訳してもわかりやすいと思います。
ここからは、貴方の番です。
基本的な学習をおさらいしましょうね。
PortSwiggerのWeb Security Academyで脆弱性とBurpSuiteを学習するのまとめ
たまたま見つけました「Web Security Academy」ですが、脆弱性に対してしっかり説明されていると思います。
それも「無料」なんですね。
「有料」の箇所もあるそうですが、まずは「無料」の箇所をマスターしましょう。
BurpSuiteの使い方の説明もあるようです。
私もこれから使い始めます。
ワクワクが止まりません。