OSWAを受けてみた

はじめに

こんにちは、技術統括部の鶴亀です。今回は当社の福利厚生である「資格取得費用補助の制度」を利用して、Offsec社が提供している資格のOSWAを取得したので、所感を交えつつOSWAについて記事にします。

なお「資格取得費用補助の制度」についてや、OSWAの上位資格であり、同じくOffsec社が提供しているOSWEについては、本ブログサイト内の「OSCE3を取得しました」にて詳細が記載されています。気になるかたは、こちらも併せてご参照ください。

WEB-200とOSWA

WEB-200

まずOSWAの詳細の前に、WEB-200ことWEB-200:Foundational Web Application Assessments with Kali Linuxについてです。 WEB-200は、Offsec社が提供している試験と学習コンテンツへのアクセス権が一体になったサブスクリプション1 を購入し、コース選択を行った後に、アクセスが可能となる学習コースの一つです。名前から察することができるように、WEBアプリケーションセキュリティを中心にしたコースとなっています。また難易度は、Offsec社のペネトレーションテストの資格としてよく知られているOSCPの学習コンテンツである、PEN-200と同じ200が採番されており、同難易度帯の学習コンテンツとなっています。

学習コンテンツ内ではSQL injectionといった脆弱性を、ラボと呼ばれるトレーニング環境で試しつつ学習を進める事ができます。

OSWA

続いてOSWAですが、こちらはOffsec社が提供している認定試験となっています。 同じWebアプリケーションセキュリティの資格で、OSWAの上位資格であるOSWEと異なり、こちらはブラックボックス型となっています。またWEB-200: Foundational Web Application Assessments with Kali Linux (OSWA) Exam Guideに記載されている通り、試験ではWebアプリケーションの管理画面に表示されるlocal.txtと、 サーバ上にあるproof.txt(各10点)を取得し、100点中70点取得すれば合格となります。そのため学習コンテンツも含め、ただXSSを発火させて終わるのではなく、クレデンシャルの取得やコマンド実行を可能にする脆弱性及び脆弱性の突き方に内容が絞られている印象です。 なおリモートシェルを取得した後に権限昇格を行う必要はありません。

またOSWAでは、旧OSCPに存在していたボーナスポイントが存在しないため注意が必要です2

試験時間はOSCPと同様に23時間45分で、試験終了後24時間以内にレポートを提出する必要があります。

受験

受験経緯

WEB-200を受講し始めた当時は新卒として入社し、尚且つWeb診断に携わり始めて2年目が経つ頃でした。何かしら資格を取りたいと思った折にOSWAの試験やWeb-200を知り、カリキュラムからWebの脆弱性を一定程度網羅されていること、ペネトレーション的な要素が強いことを感じました。そのため、ある程度習熟度の確認とその証明ができそうであること、当社で重視している攻撃に卓越することの強化につながるのではないかと考えたため、Web-200の受講とOSWAの受験をすることにしました。

受験環境

受験する際は以下の構成を用いました。

  • PC
    • OS: Windows 11
    • CPU: AMD Ryzen 3700X
    • RAM: 64GB
  • ディスプレイ
    • 筆者はひと目で全ての情報を見たい派であるため、画像にあるような画面配置にして、トリプルディスプレイで挑みました
    • 当日は開始直後を除き常に全てを使用していたわけではないですが、事前に開いていたことで効率よく取り掛かる事ができたように思います
  • 主に使用したアプリやツール
    • Burp Suite Professional
      • OSCPなど他の試験ではBurp Suite Professionalの使用は禁止されていますが、試験要項にある通りOSWAでは使用が許可されています
      • 普段の業務で使い慣れていること、仮にCSRFのPoCを作成途中頭が真っ白になってもサクッと作成できる安心感から、Burp Suite Professionalを使用しました
    • Tmux
      • 複数マシンへ同時にWfuzz等ツールをかけた際に、コマンド履歴や結果を視覚的に分離することで作業内容について混乱することを防ぐため使用しました
        • 万が一、うっかりターミナルのタブを閉じてしまっても各種履歴が残った状態で復帰する目的もあります
      • 試験時にはマシン毎にセッションを作成し、セッションやウィンドウを切り替えつつ作業するようにしていました

受験時の画面構成

受験当日とその結果

筆者は滅茶苦茶緊張しやすい上がり症であるため、普段業務を開始する時間であるAM9:00を試験開始時刻としました。 当日は試験開始15分前から監視ツールへアクセスできるため、AM8:45分から待機し、その後すぐにパスポートや部屋の確認を行いました。これらの確認に際して、試験官とのやり取りに逐一翻訳ツールを用いていたこと、パスポートの画像が不鮮明につき再提示を求められたため写真に撮ったものを提示するなど、諸々時間がかかってしまい、実際に試験環境にアクセスできたのはAM9:30頃でした。

多少時間がかかってしまったものの、上記を想定した準備やタイムスケジュールを組んでいたこと、普段通りの時間にランチ休憩を組み込むことで、多少焦ってしまっても普段通りのペースに戻す事ができ、落ち着いて各マシンを攻略していくことができました。

また想定より早く70点分解けたこともあり、丁寧めにスクリーンショットを撮り、30ページほどのレポートを作成しました。合格通知はレポートを提出した2日後に届きました。

所感

学習コンテンツに関しては前述の通り、如何に悪用するかに重きを置かれているため、濃い目の内容かつ学習者に調査・思考を促す内容になっているように感じました。少なくともOSWAの範囲を超えた内容はほぼほぼ無かったように感じます。そのため隅々まで丁寧に学習しつつ、ラボもなるべく解いておくと良いかもしれません。

試験に関しては、WEB-200のchallenge labのマシンを1台あたり2時間程度で攻略できるよう、手際よく取り組むためのチートシートの作成やマシン攻略方法の確立及び習熟ができていると、合格ラインに到達できるのではないかと感じました。 また試験開始時間きっかりに試験を始められない可能性があること、パスポートの再提示を求められる可能性があることを想定し、パスポートの写真を撮っておいてすぐ出せるようにしておくなど準備をしておくと、焦らずに済むのではないかと思います。

最後に試験を通じて、各種脆弱性を連鎖させて攻撃を発展させていくことをより意識できるようになったため、私自身受験して良かったなと感じています。

結び

OSWAの受験体験記を探してもまだまだ少ないため、OSWAの受験を検討していらっしゃるかたの参考になれば幸いです。

注釈


  1. Individual Pricingにある通り、ラボへアクセスする期間や受験可能な試験回数が異なる、複数のサブスクリプションが存在しています。筆者は個人利用だったため、90日のラボアクセス期間と1回の試験回数がある、Course+Cert Exam Bundleを購入しました。なお本文中にもあるように、OSWA及びWEB-200のコース選択はサブスクリプションを購入する際ではなく、購入完了した後に行います。 ↩︎

  2. OSCP Exam Changesにある通り点数配分に変更があり、現行のOSCPではボーナスポイントが存在しません。 ↩︎

© 2016 - 2024 DARK MATTER / Built with Hugo / テーマ StackJimmy によって設計されています。