この記事は シーエー・アドバンス Advent Calendar 2021 23日目の記事です。
前回の記事は@ken_2さんのシンプルなGraphQLサーバでCRUDする(Express.js, Objection.js, MySQL, Docker)でした。
明日の記事は@sk888さんです。
はじめに
シーエー・アドバンス(CAAD)技術統括本部セキュリティチームの @azama_yasuhiroです。
社内(グループ会社含む)サービスの脆弱性診断に関わる業務を行っています。
前職はアパレルの販売員でIT業界は未経験の僕が昨年12月に現在の部署に異動し、
半年間は開発の研修をして、そこから脆弱性診断士として成長すべく、
脆弱性診断の勉強をはじめてこの半年間の間にスキルの幅を広げるために使用したサイトを紹介させていただきます。
参考にしたサイト
-
PortSwigger
このサイトはBurpの自動診断で出てくる可能性のある脆弱性を全て表記してくれていてBurpを使用して診断をする上で必ず確認するサイトです。
※英語表記のため必要であれば日本語訳をした方が良いです。 -
知っていますか?脆弱性
こちらはIPA(情報処理推進機構)のサイトです。
代表的な脆弱性はほとんど記載されており、HTML版だと画像も使って説明してくれていてかなりわかりやすくなっております。 -
OWASPトップ10
こちらはWebアプリケーションのセキュリティリスクをランキング形式で記載しており、
一番最近では今年の2021年にランキングが更新されております。
その時その時の最も重大なセキュリティリスクが確認できるため更新のタイミングは確実に確認した方が良いサイトです。
※その前は2017年度で3~4年に1回程で更新される傾向にあります -
WPScan 入門
こちらはWordPressを使用しているWebアプリケーションに対して行う脆弱性スキャン(WPScan)の方法が記載されております。
細かいオプションなどのコマンドも記載されているので、WPScanを行う前に要チェックすると良いかと思います。 -
徳丸浩の日記
こちらは「体系的に学ぶ 安全なWebアプリケーションの作り方」の著者、徳丸さんのブログです。
一番新しい記事で2020年12月19日となっており、現在は更新が止まっておりますが、
様々な脆弱性の事例などを元に記事を記載されているので、
過去の記事でも幅を広げるために見る価値は十分にあります。 -
JVN iPediaにようこそ
こちらは脆弱性対策情報のデータベースです。
製品やパッケージなどの様々な発見された脆弱性の情報及びその対策を記載してくれていて、
脆弱性名などで検索もできるため、非常に便利です。
実際の診断時にはjQueryなどのライブラリでどのバージョンにどういう脆弱性があったか調べたりするのに活用しております。 -
XSS Attack Tips / 今日から始めるXSS
こちらはXSSを発火させるための様々なコードを記載しております。
実際に診断時はXSSの発火を確認するために様々なコードを入力するため参考になります。
※わかりやすく記載されておりますが、悪用厳禁でお願いします。 -
静的サイト、動的サイトの違いについて調べてみた(html、css、javascript編)
こちらは静的サイト・動的サイト・性的ファイル・動的ファイルの違いなどを分かりやすく解説してくれております。
診断時は静的サイトや動的サイトで見る観点なども変わってくるため、
理解を深めるのに役に立ちました。 -
OSI参照モデルとは?TCP/IPとの違いを図解で解説
こちらは脆弱性に関するサイトではないのですが、OSI参照モデルというネットワーク通信のモデルを階層ごとにかなり詳しく書いていて勉強になりますのでおすすめです。
おわりに
まだまだ自身が勉強中の身で初めて記事を書くため、拙い文章ではありますが、
僕のようにこれから脆弱性診断の勉強をはじめてスキルの幅を広げていきたいという方の少しでも力になれれば幸いです。
読んでいただきありがとうございます。