Webバックエンド開発やデータベース領域の研究開発を10年近く行ってきた筆者ですが、2023年夏頃からセキュリティ関連のキャリアパスを志向するようになりました。

Webセキュリティの実践的な経験とその証明がほしく、Burp Suite Certified Practitioner (以下、BSCP) を受験し、晴れて合格しました🎉

• BSCP・Web Security Academyについて
• 使用ツール
• チートシート
• 準備期間
• 本番
• BSCPの証明書
• おわりに

BSCP・Web Security Academyについて

PortSwigger社はBurp SuiteというWebセキュリティ業務従事者にとって標準的なツールを開発しています。
同社はWeb Security Academyという、XSSやSQL Injectionのようなトピックを28個も集めたオンラインの学習の場も提供しています。座学だけでなくLabと呼ばれる実際に攻撃を行える演習Webアプリも多数用意されています。

Web Security Academyのほぼ全トピックとBurp Suite操作の習熟度を測る試験がBSCPといえます。

より詳細な説明はBurp Suite Certified Practitionerになりました - ANDPAD Tech Blogの記事などもご参考にしてください。

使用ツール

BSCPは試験の最中に、インターネットの参照やBurp Suite以外のツールの使用が許可されています。
Burp Suite Professionalは試験のすべての場面で使いますが、それ以外に便利に利用したツールを記載します。

なお、各自の試験の内容はランダムでありかつ秘匿なので、下記のツールは必ずしも試験中に使ったわけではなく試験の準備期間に使ったものとお考えください。

• SQL Injection: sqlmap
• SSTI (Server-Side Template Injection): SSTImap
• Object Injection (Insecure Deserialization):
  • ysoserial
  • PHPGGC
• ハッシュ解析 (AuthenticationやJWTのトピックで使用): hashcat

チートシート

受験者の多くは自前のチートシートを作って試験に臨むようです。自分も知識の定着と本番での参照用にチートシートを作りました。

試験では攻撃ベクトルが明らかにされないので、Recon（偵察）により何の脆弱性を突けそうかを目処付することが大変重要です。そのため、Recon編とExploit（攻撃）編に分けて、Recon段階で視野狭窄に陥らないように工夫しました。

• 自作チートシート - Recon編
• 自作チートシート - Exploit編

以下の方々のチートシートも有益だったので、本番でも準備期間でもいつでも参照できるようにしていました。

• botesjuan/Burp-Suite-Certified-Practitioner-Exam-Study
• DingyShark/BurpSuiteCertifiedPractitioner

準備期間

計測していませんが、準備には200時間程度は要したかと思います。
Web開発者であるので、徳丸本に載っているような脆弱性とその防御については理解していたのですが、Web Security Academyのトピックには初見のものが半数以上を占めました。
知識としては知っていてもExploitを作成するのは初めてであるトピックがほぼ全てだったこともあり、座学・演習ともにしっかり時間をかけて準備しました。

先駆者の方も書いていますが、Pre Exam (模擬試験) を通じて試験形式に習熟することは大変重要です。

本番

落ち着いて臨むことができ、4時間の試験時間のところ1時間20分程で完答できました。準備がかなり活きたと実感しています。

BSCPの証明書

はオンラインで発行されます。5年間有効です。

筆者のBSCP証明書

やったね

おわりに

Webセキュリティの広範かつ深い知識・経験が身につく良い資格試験でした。まずは合格できてホッとしていますが、CTFのWeb問などにも活かしていきます。