Go to Qiita Advent Calendar 2024 Top

@sechogeposted at 2024-11-19

脆弱性診断(セキュリティ)の知識・技術を身につけるための方法について

Q&A

Closed

脆弱性診断

解決したいこと

現在、社内でWebアプリケーションの脆弱性診断を担当しています。
以下の業務を進めるために必要な知識や技術を身につけたいです。

１.脆弱性診断ツール、サービスの選定
２.自動診断ではカバーできない箇所の手動診断
３.既存ツールを用いた脆弱性診断の実施

3の業務に関しては社内のドキュメントを使えば現状問題ないのですが、
1と2については、自分の知識やスキルが不足しており満足に進められません。

そのため、以下の点についてアドバイスをいただけると助かります。

1.初心者が脆弱性診断の基礎を学べる良書やサービス
2.実践的な経験を積むために活用できるサービス

どうぞよろしくお願いいたします。

0

2Answer

@dogsandcats posted at 2024-11-27

IPAから発表されている「AppGoat」という脆弱性の体験ツールがあります。
クリックジャッキング等、あまり自社アプリの運用保守側とは縁のないものもありますが、1の要件を満たす良い学習サービスだと思います。
無料で利用できますが、IPAに申請が必要です。

1Like

Comments

@sechoge
Questioner
@dogsandcatsさん
ありがとうございます！

@ahera posted at 2024-11-19

Web自体の知識はある前提になりますが、1, 2とも実際に手を動かして試せるPortSwigger Web Security Academyをおすすめします。

手前味噌で恐縮ですが、始め方についてまとめた記事を書いたことがありますので、よろしければご覧ください。
https://qiita.com/ahera/items/05b026fa6a0bda3cf473

0Like

Comments

@sechoge
Questioner
@aheraさん
回答ありがとうございます。
頂いた学習サイトで手を動かしながら学習を進めます。

Your answer might help someone💌