徳丸基礎試験とは
正式名称は「ウェブ・セキュリティ基礎試験」ですが、公式に通称があるので本記事ではこれを使うことにします。なお、試験官に徳丸基礎試験と言っても通じない可能性がある点にはご注意ください。
本試験についてはすでに受験された方がいらっしゃいますので、まずは以下をご覧ください。
https://qiita.com/sano1202/items/a3d451bedd3371e4850b
勉強方法
大前提として、私は業務でWebアプリケーション診断を実施しており、一定の知識があります。全くの未経験ではありませんのでご注意ください。
実際にやった勉強は、会社行われた勉強会でさらっと復習し、徳丸本を試験前1時間で流し読みしただけです。
基本的な知識を問う問題ばかりですので、実務経験があればこれで十分合格できると思います。
実務経験がない方は、徳丸本(第2版)を十分に理解する必要があります。
SQLインジェクション、XSS、CSRFなどの脆弱性について、各脆弱性がどのようなもので、どのような影響があり、どうすれば対策できるかを理解する必要があります。
事前の情報どおり、PHPに関する問題は一切出題されませんでした、JavaScriptのコードは出題されましたが、前述のとおり基本的な知識を問う問題ですのですので、JavaScriptに深く精通している必要はありません。
試験について
私がこれまでに取得した資格の中ではかなり簡単な試験でした。これまでセキュリティや開発をやったことがないという人でも、徳丸本をきちんと理解しておけば十分合格できると思います。Web診断の実務経験が半年ほどあるなら私と同じように徳丸本をさらっと復習するくらいでも合格できると思います。
海外の資格のように、翻訳ミスや怪しい翻訳に苦しめられることもなく、出題そのものもシンプルで、「あてはまるものを選択」か「あてはまらないものを選択」のどちらかです。1問だけ正解が2つあるように見える問題がありましたが、経験上そういう問題は調査用の問題で採点されないだろうと思ってスルーしました。
なお、点数は900点でした。
次の目標
徳丸実務試験を狙いたいところですが、今年はGREMを取得したいのと、CompTIAの資格の更新期限が近いので、CASPが取れたら良いなと思っています。よって受験は少し先になるかもしれません。