株式会社Flatt Securityの提供するセキュアコーディングの学習サービス「KENRO(ケンロー)」のトライアル利用が2021年10月に無料になりました。通常は8万円くらいかかるコンテンツの一部が無料になっています。
無料の範囲をやり終えましたが、素晴らしいサービスで感動しました。
セキュリティに興味がある方には非常にオススメです。
オススメポイント
1. 無料で簡単に始められて期限もない
Webサイトでポチポチっと申し込めばすぐに開始できます。 クレジットカード情報なども不要なので安心です。 期限もないので、マイペースで学習できます。
2. よく聞く脆弱性の基礎が学べる
OWASP Top 10 などに出てくるようなメジャーな脆弱性10項目のコンテンツがあります。 各項目の中でさらにサブコンテンツがありますが、無料範囲でも最初の部分は見ることができます。 つまり、無料でも基礎の基礎は学習できます。
- SQL Injection
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Insecure Deserialization
- Directory Traversal
- OS Command Injection
- XML eXternal Entity (XXE)
- Header Injection
- Open Redirection
- Clickjacking
3. 説明が簡潔
各項目で「説明」があり、次に「演習環境でやってみよう」となります。 説明自体が短く、説明のためのサンプルコードも短い。 挫折しないで済みます。
技術書を読んでいて、サンプルコードが長い、解説も長い、そして眠くなる、そんなことがありませんか?
「KENRO」は短い説明の後ですぐにやってみようとなります。
4. 演習環境がついてくる
セキュリティ学習の難しい・面倒なところの一つに環境の構築があると思います。 「KENRO」では、ポチッと「演習環境へアクセス」ボタンを押すだけです。
演習環境に対して、脆弱性をつくファイルをアップロードしたり、URLを指定しアクセスしたりして攻撃ができます。
5. デザインがモダン
いまどきのモダンなデザインで気持ちがいいです。 演習をクリアすると、スコアが上がります。
全体的な感想
今まで本を読んだりして学習してきましたが、概念の理解にとどまっていた部分が多くありました。 今回、初めてXXE脆弱性をつくような攻撃をしたり、Clickjackingの脆弱性コードを見たりして、理解度を高められました。 また、10の脆弱性を通して学ぶことで、「これとこれを組み合わせると強力な攻撃になってしまうのではないか」といった観点も養えました。
「セキュリティは本で学んだけど、ピンときていないんだよね」という方に本当にオススメです。 無料なのでとりあえずやっておきましょう!
渡辺 信秀(記事一覧)
2017年入社 / 地味な内容を丁寧に書きたい