2年目

勉強

セキュリティーの勉強を初めて1年経過

最初はpicoCTFから初めてHTBを知り30台程度マシンをやり込んだ。

しかし、何となく自分に力がついている感じがしないのとそもそもペネトレーションテストって何をするのかいまいちわからなかったので今年の1月頃からTHMで勉強を始めた。

THMをやることで脆弱性について知ってきたところで、セキュリティー系のイベントに参加したり転職の面接を受けてみた。

そこで得たいくつかわかったことがあった。

ペネトレーションテスターとして転職するために

これまでの開発の経験とセキュリティーの基礎的なことがわかった状態であれば年収を大きく下げることでペネトレーションテストを仕事にして内定はもらえる。

しかし逆に言うと、今の年収を維持したままのPTへの転職は実力が全然足りない。

体系的に学ぶWebアプリケーションの作り方

とても有名な本。

転職面接の中で何を勉強するか聞いたときに丁寧に教えてくれた本。
転職をするというより自分がどう勉強すればよいかわからなかったのでプロからお話を聞けたのはありがたかった。

この本も基本的な内容レベルだが、各脆弱性がどういう仕組みで発生してどう対処するか根本の部分がシンプルにかつ体系的にまとめられており、さらにハンズオン環境も用意することで手を動かしたりソースや設定を見ながら学べるのでこの本は全初心者におすすめできるくらいおすすめでした。

ウェブ・セキュリティー基礎試験

上述の本の理解度を確認するための試験。

基礎試験と実務試験があり、基礎試験を受けて見事合格。

2年目に向けて

1年間勉強してわかったことはペネトレーションテストというのはとても範囲が広いこと。笑

そのためWebの脆弱性診断の領域に絞って勉強と言う名の遊びを進めたいと思っています。

変わるかもしれませんが現時点のToDo

  • WebSecurityAcademyのXSSをPlactitionerまで完了する
  • リサーチャーの書いた最近の脆弱性情報を2件読んで気になるところを調べる
  • BugBountyで1社試験する
  • WebSecurityAcademyの各単元をPlactitionerまで完了する
  • 途中ウェブ・セキュリティー実務試験を受ける
  • BSCPの模擬テストを受ける
  • WebSecurityAcademyの各単元を2周目まで完了する
  • BSCPを受ける

タイトルとURLをコピーしました