6/26

社内でwebサービスの脆弱性診断を行うことになったので徳丸本を買って勉強中です。
脆弱性診断の質をあげる為には経験を積むことが重要かと思いますが、他にオススメの方法はございますか?
今のところ、httpや言語の仕様を勉強する予定です。

脆弱性診断の手順の解説はあふれるほどにありますが、質を高める方法についての言及はほとんど見当たらないと思っています。書いた人がそもそも分かってないとか、分かっていても言語化が難しいとか、秘伝のノウハウだからとか色々理由はあるのでしょうが…拙著2版の7章には、そういう内容もちらっと書きましたが、何分スペースが限られていて十分には書けていないと思います。 しかし、書いてはいてもそもそも読んでくれているのだろうかと思っていたところ、弊社の入社試験で実技テストをしていた際に「ここは何故こうすると思いますか?」と質問したところ、「徳丸さんの本の7章にこうかいてあります」と回答した人がいました。ということで、読んでくれている人はゼロではなさそうですねw 弊社では、「脆弱性診断の質を高めるための講習会」も実施していますので、よろしければご検討ください(宣伝)。

スポンサーリンク

スポンサーリンク