Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Web アプリケーションエンジニアが「ウェブ・セキュリティ基礎試験」(通称:徳丸試験)を受けてみた #intra_security

Shohei Okada
October 09, 2019
Programming
0
8

Web アプリケーションエンジニアが「ウェブ・セキュリティ基礎試験」(通称:徳丸試験)を受けてみた #intra_security

2019/10/09 開催の 第25回 セキュリティ共有勉強会(テーマ:災害対策) (https://intra-security.connpass.com/event/147430/) のLT資料です。

Shohei Okada

October 09, 2019
Tweet

More Decks by Shohei Okada

See All by Shohei Okada
【PHPカンファレンス沖縄 2023】素朴で考慮漏れのある PHP コードをテストコードとともに補強していく(ライブコーディング補足資料) / #phpcon_okinawa 2023 livecoding supplementary material
okashoi
1
49
その説明、コードコメントに書く?コミットメッセージに書く? プルリクエストに書く? - #phpconfuk 2023
okashoi
3
870
いろいろなフレームワークの仕組みを index.php から読み解こう / index.php of each framework
okashoi
0
1.4k
「登壇しているひとは偉い」という話
okashoi
0
22
ISUCON 11 参考実装 PHP 移植の苦労?話
okashoi
0
6
PHP-FPM の子プロセス制御方法と設定をおさらいしよう
okashoi
0
4
cluster を使った勉強会イベントを開催してみての知見と所感
okashoi
0
3
自分たちのコードを Composer パッケージに分割して開発する
okashoi
0
28
PHP 8.0 の新記法を試してみよう!
okashoi
0
11

Other Decks in Programming

See All in Programming
Push通知許諾率向上へのアプローチ
miyabigouji
0
860
Astro 3.0入門
nozaki
0
190
[iOS Dev UK 23] Making developer tools with Swift
polpielladev
0
180
pnpm workspace実践ノウハウ
mh4gf
8
960
Iintroduction of how big tech runs tech projects
kazamori
1
450
第6回 AWSとGitHub勉強会 - AWS ECS Fargate環境の構築 -
ogiwarat
0
130
リアーキテクチャによってどうなりたいか/re-architecture
suzukihoge
2
280
PicoRuby から始めるたのしい電子工作
ogom
0
530
GDSC NYCU 2023 茶會
rabbitmagician1
1
200
スキル差があるペア_モブプロで効果的な_ドライバーナビゲータ以外のロールの分け方.pdf
yatasunshine
1
140
締切とはなにか、どういう効果があるのか #scrummikawa
murabayashi
0
280
Jetpack Media3로 좋은 콘텐츠 소비 경험 구현하기
workspace93
0
110

Featured

See All Featured
A Philosophy of Restraint
colly
195
15k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
16
1.4k
Statistics for Hackers
jakevdp
787
210k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
318
20k
Git: the NoSQL Database
bkeepers
PRO
420
61k
GraphQLの誤解/rethinking-graphql
sonatard
44
8.5k
Become a Pro
speakerdeck
PRO
8
3.5k
For a Future-Friendly Web
brad_frost
168
8.2k
What's new in Ruby 2.0
geeforr
336
30k
Mobile First: as difficult as doing things right
swwweet
214
8.2k
Writing Fast Ruby
sferik
615
59k
Rails Girls Zürich Keynote
gr2m
90
12k

Transcript

  1. Webアプリケーションエンジニアが「ウェ
    ブ・セキュリティ基礎試験」(通称:徳丸基
    礎試験)を受けてみた
    第25回 セキュリティ共有勉強会(テーマ:災害対策)/@okashoi

    View Slide

  2. お前だれ?

    View Slide

  3. ウェブ・セキュリティ基礎試験?
    https://peatix.com/event/857251

    View Slide

  4. ウェブ・セキュリティ基礎試験?
    基礎的な知見を問う試験
    受けたのはベータ試験
    ベータでも合格者は正式に認定される
    受験料が安い(1 万円 → 5 千円)
    通称:徳丸基礎試験
    そうです、あの徳丸さんです
    https://www.phpexam.jp/news/tokumarushiken/

    View Slide

  5. きっかけ
    https://twitter.com/ockeghem/status/1148857551959646208

    View Slide

  6. きっかけ
    友人「徳丸試験やて、ほら、申し込むぞ!」

    View Slide

  7. きっかけ
    私 「アッハイ」

    View Slide

  8. 自分のセキュリティに関する知識レベル
    セキュリティに関する基礎概念はわかっている
    SQL インジェクション、XSS、CSRF、CORSなど
    新規開発における方針の策定などを業務で経験してはいる
    実装レベルの話はフレームワークにおまかせ

    View Slide

  9. やっとこと
    対策期間 1 ヶ月も無い
    申し込み日 7 月 10 日
    試験日 8 月 4 日
    他にもやることがあったので、正味使える時間はもっと少ない
    → 本で網羅的に知識をさらう

    View Slide

  10. やったこと
    20 時間も満たない
    業務時間後に友人とあつまってもくもく(2~3時間×3)
    当日試験開始まで(5時間)
    あとはこれまでの実務経験に頼る

    View Slide

  11. 読んだ本 1
    『徳丸浩のWebセキュリティ教室』
    とりあえず網羅的にサクッと知りたかった
    事例ベース
    試験対策の知識としては深さが足りないと感じた
    エンジニア以外(事業責任者とか)にもおすすめできる

    View Slide

  12. 読んだ本 2
    『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生
    まれる原理と対策の実践』
    Webセキュリティといったらこれ
    出題範囲として明記されている
    時間的に端から端まできちんと目を通すのは無理
    持っている知識と照らし合わせながら網羅性を優先して読んだ

    View Slide

  13. 試験の様子
    https://twitter.com/_yoshimasa/status/1157904225600303104

    View Slide

  14. 試験の様子
    4 択問題 40 問
    70 % 正解で合格
    試験時間 2 時間

    View Slide

  15. 試験結果
    まだ(LT までに結果くると期待してたが、まだ)

    View Slide

  16. 所感
    セキュリティが大切なのは理解していても、体系的な知識を包括的
    に身につけられているかは疑問に思っていた
    それに一定の指標を与えてくれるのはありがたい
    もちろん資格をとったから実務ができるというわけではない
    「徳丸本を通して読む(エネルギーが要る)」きっかけになった

    View Slide

  17. 徳丸基礎試験はいいぞ!
    感想ブログ
    https://blog.okashoi.net/entry/2019/08/04/200635

    View Slide