4月27日のOSCP受験に続けて2024年5月1日にOSWA試験を受け、無事に合格したのでその記録です。
筆者の背景・受験の理由
高専から大学院まで9年間の情報系学生を経て、現在は脆弱性診断・ペネトレーションテストや研修講師対応に従事する4年目社員です。
Web診断に関しては仕事で行っているものの、体系的に学ぶ機会も少ないのでゴールデンウィークという良い機会に受験することにしました。また、OSWAは経済産業省の『情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示』において脆弱性診断サービスの提供に必要な専門性を満たすとみなすことができる専門資格として挙げられているので、一定の診断技術があることをアピールできるかと思います。
OSWAとは
OSWAはWebアプリケーション診断の基礎に関する試験で、トレーニングコースとしてはWEB-200に対応します。OSWA(WEB-200)はOSWE(WEB-300)と比較するとブラックボックステストであるという特徴があります。一般的なWeb診断メニューではソースコードが提供されないことも多いので、ブラックボックステストの力を磨くのは大事です。
試験自体は23時間45分の監視付き実技試験と24時間の報告書作成により合否が判定されます。
勉強方法
OSCPの後に勢いで申し込んだので、1日でテキストを読みチートシートを作成しました。
エクササイズもCHALLENGE LABSも起動すらしていませんが、CHALLENGE LABに関してはDiscord上でマシン名を検索してなんとなくいけそうな雰囲気があったのでテキストを重点的に確認しました。
後から考えると昔DVWAで培った知識は割と役に立った気がします。XSSやSQLiの原理や悪用方法は理解しておくと良いです。
予約や事前準備
予約はOSCPの受験前に行いました。Webアプリケーション診断の経験はあるので不合格になるなら2週間のクールタイムで猛省した上で再挑戦すればよいという考えでした。
事前準備に関してはOSCPと同様食料の買い込みや部屋の片付けを行いましたが、OSCP試験のために部屋を綺麗にしていたおかげで一番大変な部屋の片付けを省力化できました。
当日の内容
試験の監督方法に関してはOSCPと全く同じだったのでリラックスして臨めました。
朝7:00開始で眠いまま開始し、最初は5台並列で列挙を行いました。一通り列挙が終わると分かりやすいところから手をつけていき、70点の合格圏に入った時点で手順書の作成とスクリーンショットの確保を行いました。結局1台のproof.txtともう一台の初期侵入方法が分からず諦め、70点となりました。
合格通知
5/3 3:51に報告書を提出し、5/4 4:05に合格通知が来ました。OSCPは4日間だった一方でOSWAは1日間で判定結果が出たので、何を見ているのかは気になりますね。
感想
ある程度Webアプリケーション診断を行っている人であればテキストを読むだけで合格はできると思いました。ただ、その一方で脆弱性診断では行わないことも求められるのである程度の勉強は必要かと感じました。例えば、(ペネトレーションテストではなく)脆弱性診断では脆弱性を発見した時点で指摘を挙げるので、実際にはどのように資格情報の窃取など悪用を行うのかは十分に確認する必要があります。その点ではテキストの内容を十分に理解することが合格への近道だと思います。
あと、一点注意が必要な点としてアプリケーションやソースコードのダウンロード禁止が制限されています。ローカル環境でちょっと解析したいからダウンロードする、みたいなことをすると抵触しそうだと思いました。顧客資産を不必要に取得するなという考えなら、それはそうとなりますが。
今後
ゴールデンウィーク中にOSWP受けます→受けました。