事業会社でセキュリティエンジニアをしている@the_art_of_nerdです。 初めてIT業界の資格を取得した2023年3月から2025年3月の2年間で21個のセキュリティ資格を取得することができました。その過程で学んだことや資格を取ることのメリット/デメリットなどを個人の視点からまとめてみたいと思います。 忙しい人向け 資格を多くとることについて メリット 知識の幅を広げることができた 知識を視覚化することができた 経験年数の短さをカバーすることができた 多少なりの自信に繋がった デメリット 資格を取ることがゴールになってしまう可能性 資格だけの人間になってしまう可能性 お金と時間のコストが大きい 資格は意味ない説について どちらでもいいと思います。 スキル面で資格を多くとっていてすごい人、持っていなくてもすごい人どちらも出会ったことがあるので、結局は継続して勉強や成長できればエンジニ
実務で担当するまでに独学した、攻撃者視点のセキュリティ|GMO Flatt Security株式会社
こんにちは、GMO Flatt Security セキュリティエンジニアの @k1rnt です。 現在私は、業務として手動脆弱性診断を担当しています。 今回の記事では、私がサイバーセキュリティに興味を持った後にGMO Flatt Securityに入社するまでに行った独学の内容と、入社してからの独学でのコンテンツと実務での違い、また弊社の制度の一つである資格支援制度について紹介します。 独学コンテンツサイバーセキュリティに興味を持った元々ソフトウェアエンジニアとして働いていた私ですが、学生の頃から攻撃者目線でのサイバーセキュリティの分野に強く関心があり、ある日X(旧Twitter)にてコミュニティの募集を見かけ、参加しました。 セキュリティの基礎知識は学生時代にCTFやAndroidの解析、PC弄りによって少し持っていたものの、具体的に何から始めれば良いのかはよく分かっていませんでした。ま
こんにちは、セキュリティチームのwonda-tea-coffeeです。 最近さらば青春の光が好きすぎて五反田への引っ越しを検討しています。 さて、本稿では私が先日取得した資格である、Offensive Security Web Expert(以下、OSWE)について紹介します。 これからチャレンジしようと考えている方、もしくは既に試験に向けて頑張っている方に向けて少しでも有益な情報になれば嬉しい限りです。 また、前回紹介したBurp Suite Certified Practitionerについても良ければご覧ください。 OSWEとは OSWEはOffensive Security社が提供する、ペネトレーションテストの認定試験です。以下、簡単に特徴を記します。 標的のWebアプリケーションとほぼ同一のデバッグ環境を使って、ホワイトボックステストを実施し、目標の証明ファイルを入手する 試験時
はしがき ・著者は、文章を書くのが苦手です。 ・この記事は、大変長く冗長になっています。 ・この記事は、間違っていることを多く含んでいる可能性があります。 ・この記事は、あなたの学習における大きなネタバレとなる可能性があります。 ・この記事は、誤字・脱字が多いです。 記事の目的 本記事は、IPアドレスすらわからなかった著者が歩いたOSCP取得までの過程を残した記事です。 記事の妥当性 私自身は、今もなおただの事務員です。業務で診断業務やペネトレーション・Red Teamingをしたこともなければ、大規模なシステムやサーバの管理・プログラム開発をしたことはありません。よって記事の内容の妥当性には大いに疑問が残ると思います。一方で完全な未経験ながらの視点や疑問を残しつつ、入門者がどういった行動に出るのかという点を残すことは意味があることだと著者は思います。 突っ込みどころが満載かと思いますが、
OSCP合格までの道のりとそこから学んだこと
先日、OSCPというペネトレーションテストの資格試験を受けて無事に合格できました! 合格までの間、多くの先人の方々のブログを参考にさせてもらっていたので、私もこれからOSCPを取ろうと思っている人たちのために、合格までの道のりと、そこから学んだことをまとめておこうと思います。細かいTips等も含めています。 ちなみに私は、セキュリティ企業で働いている(もしくは働いていた)というわけではなく、どちらかというと、インターネットサービスを開発をする会社のインフラ・セキュリティを担当するという立場で働いている者です。なので、OSCPでペネトレーションテストのテクニックを学ぶことで、システムを保護するためのスキル向上につなげたいというモチベーションがありました。この点については、もう少し詳しく後述します。 OSCPとは すでに多くの紹介ブログがあるのでここでは簡単な説明にとどめますが、 Offens
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? みすてむず1 アドカレ(4) の4日目の記事です https://adventar.org/calendars/8652 はじめに 煽りタイトルでスミマセン🙇♂️ 昨今情報漏洩事故が多発しており、セキュリティの重要性が叫ばれています。 事故原因は様々で、ネットワークやプラットフォームの不備、アプリケーションの脆弱性、人的要因などがあります。 Web開発とは切っても切れないWebアプリケーションセキュリティですが、皆様は 脆弱性の原理を正しく理解していますか? 脆弱性の名前や、コードを書く際に気を付けなければならないポイントやフレーム
Hacker Oneの無料のペンテスト基礎講座 まとめ ペンテスト・バグバウンティについて勉強していきたい人におすすめ - Security Index
HackerOneが公開しているペンテストの基礎講座の動画 PENTESTING BASICS VIDEO SERIES LAUNCHED ON HACKER101 のPart1~4を見たのでまとめました。 Hacker Oneの無料のペンテスト基礎講座 part1 OWASP Top 10 part2 ペンテストvsバグバウンティ part3 ペンテスト関連資料 part4 レポート作成とベストプラクティス Pentesting basics video series launched on Hacker101 https://t.co/TA3jjN0nJl— si🌤️ (@security_index) 2020年7月24日 PENTESTING BASICS VIDEO SERIES LAUNCHED ON HACKER101 Part1 A Starters Guide to P
未経験からOSCP取得ガイド - Qiita
はしがき ・著者は、文章を書くのが苦手です。 ・この記事は、大変長く冗長になっています。 ・この記事は、間違っていることを多く含んでいる可能性があります。 ・この記事は、あなたの学習における大きなネタバレとなる可能性があります。 ・この記事は、誤字・脱字が多いです。 記事の目的 本記事は、当時OSCPを目指した著者と同じようなレベルの入門者がOSCP取得を目指すためのガイドとなる記事です。 記事の妥当性 私自身は、今もなおただの事務員です。業務で診断業務やペネトレーション・Red Teamingをしたこともなければ、大規模なシステムやサーバの管理・プログラム開発をしたことはありません。よって記事の内容の妥当性には大いに疑問が残ると思います。一方で完全な未経験ながらの視点や疑問を残しつつ、入門者がどういった行動に出るのかという点を残すことは意味があることだと著者は思います。 突っ込みどころが
3/28に受けたOSWEに合格したので受験記書きます! 若干冗長に書いてますがそこは許してください。 OSWE 自身のスキル AWAEコース 必要な知識 コースの感想 自分のスケジュール 勉強方法 試験 試験の予定 試験の現実 試験の感想とアドバイス? 脆弱性発見手法(我流) Blackbox Whitebox grepキーワード 参考資料 whiteboxについての資料 grepベースの脆弱性発見 SQL Injection Directry Traversal SSTI XSS Deserialize XXE Command Injection TypeJuggling File Upload HackTheBox 最後に OSWE OSWEはOffensive Security Web Expertの略で、AWAEというコースを受講して試験に合格するとOSWEの認定がもらえます。名前
はしがき ・著者は、文章を書くのが苦手です。 ・この記事は、大変長く冗長になっています。 ・この記事は、間違っていることを多く含んでいる可能性があります。 ・この記事は、あなたの学習における大きなネタバレとなる可能性があります。 ・この記事は、誤字・脱字が多いです。 記事の目的 本記事は、OSCP取得の直後から著者が歩いたOSEP取得までの過程を残した記事です。 記事の妥当性 私自身は、自己学習の範囲内で1年ほどのセキュリティの経験しかないただの事務員です。業務で診断業務やペネトレーション・Red Teamingをしたこともなければ、大規模なシステムやサーバの管理・プログラム開発をしたことはありません。よって記事の内容の妥当性には大いに疑問が残ると思います。一方で完全な未経験ながらの視点や疑問を残しつつ、入門者がどういった行動に出るのかという点を残すことは意味があることだと著者は思います。
近年急成長を見せるサイバーセキュリティ業界。この成長に伴い、転職の際に有利になる資格としてサイバーセキュリティ関連の資格への注目が高まっています。日本でサイバーセキュリティ関連の資格と言えば「情報処理安全確保支援士」が最も一般的ですが、こちらは難易度が比較的低いことから、ペンテスターなど、サイバーセキュリティ業界のテクニカルな部分を担う方の多くが持っている資格です。 そこで、差別化できる資格としてOffensive Security Certified Professional(OSCP)という難関資格の取得を検討する方もいらっしゃいます。しかし、日本語でのOSCPの試験情報や対策法に関するリソースがまだ限られており、対策法が見つかりづらいことも事実です 今回の記事では、OSCPに関する基本情報と、対策のコツ、CEHなどの他のセキュリティ資格との違いについて詳しく解説します。 目次 OSC
ソフトウェアの脆弱性(ぜいじゃくせい)報告に対して報奨金を支払う「バグ報奨金プログラム」は、1億円を報奨金だけで稼ぐ「バグハンター」が存在するように、時には一獲千金を狙えるプラットフォームです。しかし、普通の人がソフトウェアの脆弱性を見つけるのは困難に思えるのも事実。セキュリティ研究者のAlaa Abdulridha氏がブログで公開している「Facebookに存在していたパスワードを変更できる脆弱性レポート」は、そんなバグ報奨金を少し身近に感じられる内容です。 How I hacked Facebook: Part One – Alaa Abdulridha https://alaa.blog/2020/12/how-i-hacked-facebook-part-one/ Abdulridha氏は新型コロナウイルス感染拡大で生まれた時間を利用して、ウェブアプリケーションに侵入して脆弱性を見
We’ve been in this pandemic since March and once the pandemic started I was having plenty of free time, And I need to use that time wisely, So I’ve decided to take the OSWE certification and I finished the exam on 8 of August, after that, I took a couple of weeks to recover from the OSWE exam, then in the med of September, I said you know what? I did not register my name in the Facebook hall of fa
OSWE合格までの道のり
先日、OSWE (Offensive Security Web Expert) というWebアプリケーションに特化したペネトレーションテストの資格を取りました。OSCPの合格に続き、Offensive Security社の2つ目の資格を取得したことになります。 今回も、合格までの道のりを書いておこうと思います。この記事で、OSWEとは何かを知ってもらえたり、OSWEをこれから受ける人にとって有益な情報を提供できたら嬉しいです。 ちなみに、今回も受験にあたっての費用($1,649)は、会社のキャリア形成支援の制度で全額支払ってもらえたので感謝しています。 OSWEとは まず、OSWEの概要をまとめておきます。 Offensive Securityという、Kali Linuxを提供していることで有名な企業によるペネトレーションテストの資格の1つ。 テーマはWebアプリケーションに特化していて、
OSWE認定試験の紹介と受験記
NECサイバーセキュリティ戦略本部セキュリティ技術センターの磯野です。 今回は、Offensive Security Web Expert(以降、OSWE)認定試験を紹介します。 2019年11月に受験してから既に10ヶ月程度が経過しており、少々記憶もおぼろげですが、まだまだ日本国内で受験している人が少ないように思われ、日本語の受験記も見当たらないため、「興味はあるけど情報が少なくて躊躇している方」の受験を後押しするためにもテーマとしました。 また、この記事に特に興味を持っていただける方は、Offensive Security Certified Professional (以降、OSCP)の取得者や受験予定者が多いかと思いますので、OSCPとの違いも交えて説明します。
みなさんこんにちは。調査・監視部に所属する宮﨑です。 普段の業務ではブルーチームとして、SOC監視・調査やフォレンジック調査、マルウェア解析などを行なっています。 今回はOffsec社が提供する、Webペンテストの資格 2種へ挑戦し合格したため、受験記を投稿します。 OSWA・OSWEとは これらはOffsec社が提供するWebペンテスト系の資格で、それぞれの正式名称は以下のとおりです。 OSWA (Offsec Web Assessor) OSWE (Offsec Web Expert) 資格の難易度とレベル Offsec社のコンテンツの難易度は、100から400まで存在し、通常の契約プランで購入できるコンテンツは300までになります。そして、OSWAは200、OSWEは300の位置付けにいるため、単純にOSWEの方が難易度としては高いです。また、300のコンテンツ・試験ではエクスプロイ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
2年間で21個のセキュリティ資格を取ってわかったこと
Offensive Security Web Expertになりました - ANDPAD Tech Blog
IPアドレスすら分からなかった文系事務員がOSCPを手にするまで - Qiita
Webエンジニアでテッペン取るならPortSwiggerでセキュリティを勉強しよう - Qiita
OSWE Review(受験記) - 高林の雑記ブログ
完全未経験の文系事務員がOSEPを取得するまで - Qiita
OSCPとは?効果的な勉強法を徹底解説 | Computer Futures
「バグ報奨金の稼ぎ方」が少しわかりそうな「Facebookに存在するバグ脆弱性レポート」
How I hacked Facebook: Part One
Webペンテスト系の資格「OSWA」「OSWE」受験記 | 株式会社レオンテクノロジー