ロード・オブ・ザ・ホワイトハッカー

ホワイトハッカーはじめました

Burp Suiteな日々

Web Security Academy入学

Burp SuiteのCommunity Editionの使い方を覚えるため、PortSwiggerが提供するWeb Security Academyに入学、と言っても無料で、メールアドレスがあれば誰でも登録できる。

 

portswigger.net

 

Webセキュリティに関する教材と、Labと呼ばれる、実際のサーバー環境が与えられて、そこでBurp Suiteを使いながら、脆弱性の攻撃手法などを学べる。

 

教材は、

  • サーバーサイド:9
  • クライアントサイド:6
  • 上級編:6

に分かれていて、それぞれの題材に応じてLabがあり、全部197種類ほど用意されている。

 

OAuth 2.0 authentication vulnerabilitiesが一番上に表示されていたので、とりあえずやってみた。英語での説明ではあるが、動画を使ったBurp Suiteの操作方法も確認出来て、Webアプリケーションの脆弱性の理解と、Burp Suiteの操作方法、両方が学べます。

 

通常は、SQL Injectionあたりからやるのを推奨されていいます。

 

こんな感じで、受講履歴が管理されます。

f:id:chikuwamaruX:20210912104655p:plain

これが無料で提供されているのは凄いな、と感心します。

これを受講している人は、ホワイトハッカーとブラックハッカー、どちらが多いのか気になるところ。

 

Burp Suite Community Editionの限界

Web Security AcademyでLabを試していると、Burp Suite Cummunity Editionに無い機能を使わないと完了できないものが出てくる。

つまり、399ドルを払って、Professional Editionに上げてください、ということに。

 

この辺りを見ても、具体的な機能差はよく理解できない。

f:id:chikuwamaruX:20210912105140p:plain

 

実際のBurp Suiteを見ると、(Pro version only)とグレーアウトされている。

f:id:chikuwamaruX:20210912105257p:plain

 

OAuth 2.0 authentication vulnerabilitiesという単元で、Labのうち1つは、Burp Collaboratorを使用するものだった。

 

PortSwiggerの囲い込み戦略の凄さを感じます。

 

Community Editionを使いながらLabをクリアして、Professional Editionでないとクリアできないものは、30日間のFreeトライアルで挑戦してみます。

セコい話ですが、最終的には、399ドル払うべき、という結論になるんでしょうね。

 

つ・づ・く