セキュリティのハンズオン学習について

SC初受験さん  
(No.1)
今回SCを初受験するにあたり、折角ならセキュリティについてある程度実践的な経験をしてみたいと考えています。
そこで、セキュリティについて、実際に手を動かして学習する形式(いわゆるハンズオン学習)のおすすめ教材があれば紹介していただきたいです。市場に様々なレベル感の教材があり、どれを手にしてみるべきか少し悩ましいところがあるので、皆様の経験を参考にさせていただければ幸いです。
なお、今のところ翔泳社の「ハッキング・ラボのつくりかた」をオンラインで購入済みで、これについては最初に取り組もうと考えています。(まだ手元にはありません)
2023.08.01 17:24
pixさん 
SC プラチナマイスター
(No.2)
「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」
いわゆる徳丸本です。
この本をやり切るのは大変ですが、やり切れば、Webの攻撃について相当の
知識が付きます。
2023.08.01 17:28
ちょーさんさん 
(No.3)
下記の個人学習向けツールもよさそうです。

脆弱性体験学習ツール AppGoat
https://www.ipa.go.jp/security/vuln/appgoat/index.html
2023.08.01 18:27
えださまさん 
(No.4)
ハッキングラボの本は、GPENやCEHやcomptiaPentestの試験にダイレクトに役立つので、セキスぺでSQLiteとかNmapとOWASPZapとかエクスプロイトの深い知識必要ないんで無駄だと思う。
もし仮に、HTBやTHMなどのペネトレーションテストの技術を向上するサイトなどで勉強したいと考えているなら、お門違いです。

SQLインジェクションやXSSの攻撃手法も参考書に載ってる範囲で足りるし、ログをみてこれは何の攻撃か等の設問とかなので、そもそものセキスペを合格する目的から、”手段”が乖離してませんか?

本当にやりたいなら、FortiGateを1台、インラインIPS、WAF、EDRなどを用意して、役割別(Web,DNS,プロキシ,メール)サーバーをDMZに配置し、Webサイトを作ったりWebアプリケーションをセキュアプログラミングで作ったりして、ハンズオンで何かやればいいと思う。

ちなみに、自分でやるより、セキュリティコンサルタントやエンジニア、アソシエイトなどの仕事をした方が、確実に覚える。
2023.08.02 10:57
SC初受験さん  
(No.5)
>>pix さん
この本についてはよく目にしますし、総じて高評価なので、取り組んでみようかと思います。ありがとうございます。

>>ちょーさん  さん
IPAの資料は少し目を通していますが(情報セキュリティ白書等)、このツールは存じ上げませんでした。面白そうですし、早速ダウンロードさせていただきました。ありがとうございます。

>>えださま  さん
「SCに合格するためにハンズオンをする」のではなく、「SCを契機にハンズオンにも取り組んでみたい」という旨で投稿しています。また、当方は情報系と無関係の学生ですので、ソフトウェア/アプライアンスの購入は予算的に苦しいですし、実務に携わるのも現実的ではないです(実務経験の方が身に付く、というのはその通りだと思っています。)
2023.08.02 13:51
えださまさん 
(No.6)
この投稿は投稿者により削除されました。(2023.08.02 14:23)
2023.08.02 14:23
えださまさん 
(No.7)
セキュリティのハンズオン(会社のセキュリティに直接関わる仕事をしてますが聞いたことない、、、)をやりたい!って思うなら、合格してからの方がいいと思いますよ

pixさんの回答の様に、まずはセキスペの範囲から実戦練習をするべきでは??
2023.08.02 14:26
佐々木さん 
(No.8)
皆様!!
終わるのにかかる時間も一緒に教えてもらえると非常助かります!!!!
プレイヤーのレベル感にもよるとおもいますが!だいたい!
2023.08.02 20:18
佐々木さん 
(No.9)
えだまめさんが言ってるようにそのハンズオン?書籍等をやる際に網羅度を知りたいです。

例えば
「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」
をやった場合

やる切るのにかかる時間は「●●時間」でセキスペの試験に関する内容(応用できる内容)は「●●%」くらいです。

と教えていただけると助かります。どの教材も、試験に使える知識が得られて数十時間で出来そうであればやってみたいと思ってます。

よろしくお願いいたします
2023.08.02 21:37
pixさん 
SC プラチナマイスター
(No.10)
>佐々木さん

「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」
やる切るのにかかる時間:一ヶ月
セキスペの試験に関する内容:50%

この本の内容が理解できれば、SCのWebアプリケーションの問は
苦労することはなくなると思います。
2023.08.02 22:29
えださまさん 
(No.11)
この投稿は投稿者により削除されました。(2023.08.02 22:49)
2023.08.02 22:49
えださまさん 
(No.12)
>佐々木さん
pixさんの回答の通り、「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」を1ヵ月かけてwebアプリケーションの分野の勉強ができます

ちなみにどの板か忘れましたが、pixさんがセキスペの勉強に必要な知識をどこかの板で書いてあるので、セキスペ合格の為ならそれを参考にしてみては?
あくまでこの板は、セキスペの範囲以外のペネトレーションテストのハンズオンをやってみたい、というスレ主のさんの板なので、、、
セキスペ合格したい人はスルーしていいと思います。

※pix”さん”が抜けてました
2023.08.02 22:56
CTFおじさんさん 
(No.13)
完全に上級者向けですが、CTFなんかもおすすめです。
セキュリティにもいろいろな分野があるので興味が湧いたらやってみるのもいいかもしれません。下記のお好きなのをどうぞ
PWN-プログラムの脆弱性を突く問題
Crypto-暗号文の問題
Reversing-バイナリを解析する問題
Web-SQLやXSSを含むWebセキュリティに関する問題
PPC(Professional Programming and Coding)-競技プログラミング
Forensic, Steganography, Network-データを抜き出す問題
Misc-上記以外の問題
2023.08.02 23:53
IPAさん 
(No.14)
CTF系のサイトでTryHackMeなどは有名です。
ある程度英語が読めることが条件ですが。
2023.08.28 09:37

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop