私は約7年の経験を持つWeb開発者ですが、過去12か月間サイバーセキュリティに携わってきたため、安全なコードプラクティスとOWASPグッドプラクティスを職場で実装し始めました。 OSCPを実行する準備をしています。アプリケーションのセキュリティのほうが私には適していると思いますが、ペンテスティングは本当に興味深いと思われるため、いくつかのCTFを実行しました。
私はアプリのセキュリティ担当者が、ペンテスターのように大規模な認定コレクションを必要としないことに気づきました。
1)ウェブアプリハッカーハンドブックを読んだり、OWASPの安全な方法を実装したり、CTFを実行したりする以外に、pwkコース(OSCP)を購入せずにアプリケーションのセキュリティを利用するにはどうすればよいですか?
2)OSCPをアプリケーションセキュリティのスペシャリストやその他の認定資格に取得する価値はありますか?
3)ネットワーク侵入テストとWebアプリケーションセキュリティの毎日のジョブタスクの大きな違いは何ですか?
1)OverTheWire.orgで「Natas」ウォーゲームを試してください。概念を学び、実際にそれらを学ぶのに適しています。彼らはあなたが悪用を練習できる安全でないアプリケーションをたくさん持っています。また、OWASPにはWebGoatと呼ばれるテスト用の(安全でない)練習アプリケーションがあります。
2)oscpを提供する同じ会社(攻撃的セキュリティ)は、OSWE(攻撃的セキュリティWebエキスパート)も提供しています。あなたが申請ルートに行くことを探しているなら、私は間違いなくOSWEを取ることを勧めます。 OSCPはアプリケーション側に影響しますが、ネットワークにより重点を置いています。
3)アプリケーションセキュリティエンジニアは、アプリケーション/コードに厳密に取り組んでいます。ネットワークテスターは、ネットワーク全体を操作します。ネットワークは、PC、サーバー、ルーター、ファイアウォール、スイッチなどで構成できます。したがって、ネットワーク設計、攻撃者がネットワーク内を移動してマシンを悪用する方法にさらに重点を置きます。アプリケーションは、特定のアプリケーション/ソフトウェアにのみ焦点を当てます。
Webgoat: https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project