Web Security Academy入学

Burp SuiteのCommunity Editionの使い方を覚えるため、PortSwiggerが提供するWeb Security Academyに入学、と言っても無料で、メールアドレスがあれば誰でも登録できる。

portswigger.net

Webセキュリティに関する教材と、Labと呼ばれる、実際のサーバー環境が与えられて、そこでBurp Suiteを使いながら、脆弱性の攻撃手法などを学べる。

教材は、

• サーバーサイド：9
• クライアントサイド：6
• 上級編：6

に分かれていて、それぞれの題材に応じてLabがあり、全部197種類ほど用意されている。

OAuth 2.0 authentication vulnerabilitiesが一番上に表示されていたので、とりあえずやってみた。英語での説明ではあるが、動画を使ったBurp Suiteの操作方法も確認出来て、Webアプリケーションの脆弱性の理解と、Burp Suiteの操作方法、両方が学べます。

通常は、SQL Injectionあたりからやるのを推奨されていいます。

こんな感じで、受講履歴が管理されます。

これが無料で提供されているのは凄いな、と感心します。

これを受講している人は、ホワイトハッカーとブラックハッカー、どちらが多いのか気になるところ。

Burp Suite Community Editionの限界

Web Security AcademyでLabを試していると、Burp Suite Cummunity Editionに無い機能を使わないと完了できないものが出てくる。

つまり、399ドルを払って、Professional Editionに上げてください、ということに。

この辺りを見ても、具体的な機能差はよく理解できない。

実際のBurp Suiteを見ると、（Pro version only）とグレーアウトされている。

OAuth 2.0 authentication vulnerabilitiesという単元で、Labのうち1つは、Burp Collaboratorを使用するものだった。

PortSwiggerの囲い込み戦略の凄さを感じます。

Community Editionを使いながらLabをクリアして、Professional Editionでないとクリアできないものは、30日間のFreeトライアルで挑戦してみます。

セコい話ですが、最終的には、399ドル払うべき、という結論になるんでしょうね。

つ・づ・く