SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Burp Suite Certified Practitioner紹介

はじめに

ゼルダの伝説 スカイウォードソード HD楽しすぎて仕事する気がおきない岩間です。マダス...マダス...

先日、Burpを開発している会社Port Swigger社が新しい資格「Burp Suite Certified Practitioner」をリリースしました。

portswigger.net

portswigger.net

どんなものかと思い少し調べてみました。

試験概要

この資格では、以下のようなWebセキュリティテストのスキルを試験を通じて検証するようです。

  • 一般的なWebの脆弱性の検出や悪用方法(XSS, SQLi, OWASP Top10, HTTP Request Smugglingなど)
  • 基本的なWeb技術の知識(HTTPやHTMLの知識、エンコーディング方法など)
  • 一般的な対策の回避方法

試験に関する情報は次の通りです。

  • 試験時間: 3時間
  • 費用: 99ドル
  • 有効期間: 5年間
  • 言語: 英語のみ
  • 資格の種類: Practitionerのみ。

※ 現在はPractitionerレベルのみのようですが、将来的には他のレベルも追加する予定のようです。

受験環境の要件

OS:

  • MacOS X10.5以降
  • WindowsVista以降
  • Chrome OS

※ Linuxはサポートしていません。

ブラウザ:

  • Google Chrome(ポップアップブロックを無効にすること)

ハードウェア:

  • デスクトップまたはラップトップPC
  • webカメラ
  • マイク
  • スピーカー

※ タブレットやモバイルデバイスはサポートしていません。

通信環境:

  • 上り下り 2Mbps
  • 信頼できるインターネット環境

※ ホットスポットは非推奨

ソフトウェア:

  • Burp Suite Professionalが必要

※ Free版では試験が完了できないようなのでご注意ください!

試験内容

受験者は自身のブラウザを通じて、試験環境に構築されたアプリケーションにアクセスします。
このアプリケーションには意図的な脆弱性が含まれており、3つのステージを順に攻略していくことになります。

  • ステージ1: 任意のユーザアカウントを奪取する。
  • ステージ2: 奪取したユーザアカウントを使用してさらなる特権昇格行うか、管理者アカウント(administrator)を奪取するなどして、/adminの管理者画面にアクセスする。
  • ステージ3: 管理者インタフェースを使用して、サーバーのファイルシステムから/home/carlos/secretの内容を読み取り「submit solution」で送信して終了。

試験環境の仕様

  • アプリケーションには最大1人のアクティブユーザがいる。
  • ユーザまたは管理者はログインしている。
  • ユーザは15秒ごとにサイトにアクセスしている。
  • ユーザはChromiumを実行している。
  • 受験者は用意されているエクスプロイトサーバーの「send to victim」機能を利用して、被害者にリンクを踏ませることができる。
  • SSRFの脆弱性を見つけた場合は、ローカルホストのポート6666で実行されている内部用サービスにアクセスしてファイルを読み取ることができる。
  • _lab_lab_analyticsCookieのクッキーは試験の動作用のもので、改ざんしないこと。
  • 試験環境からインタネットへのアウトバウンドトラフィックは制限される。
  • burpcollaborator.netと試験環境内のエクスプロイトサーバーを除いて、外部にアクセスさせることはできない。

練習問題もあります。PortSwiggerのアカウントが必要です。

https://portswigger.net/web-security/certification/takepracticeexam/index.html

練習問題をやってみた感想

※ 練習問題ですがネタバレしない範囲で感想を書いてます。

当初、自分は診断員向けレベルを予想していましたが、実際に練習問題やってみた結果、技術的にはそれ以上の能力が求められています。
試験で問われる能力から見て分かるように、実際の悪用方法も知っておく必要がありました。XSSで言えばalertとかprintで脆弱性を証明するのではなく被害者のcookieを盗むような、現実的な悪用方法の知識が問われます。

また、Extenderがないと時間がかかる箇所も練習問題ではありました。もしかすると試験説明ページのヒントにも書いてあるようにScannerを使えということだったのかもしれません。(Scannerは練習問題では使っておらず)
加えて、ビジネス的な能力(報告書や脆弱性の脅威説明など)を評価することは無いので、この資格では純粋にWebセキュリティのスキルが問われているようでした。