7日間でハッキングをはじめる本をやってみた

翔泳社というソフトウェア開発を主とする出版物を発刊している会社があるのですが、おすすめの本の中に面白そうな本があり購入してやってみました。

それがこちらです↓

概要

TryChackMe というハッカー御用達のサイトを使いながら、実際に自分のPCに環境構築を行い、専用のツールをインストールして、仮想的な環境で実際に手を動かして悪用厳禁のハッキング行為を練習する内容になっています。

普段アプリ開発時はセキュリティ対策を講じるのは最もですが、そのようなセキュリティ対策の中からハッカーはどのような脆弱性をつき、対象のWEBサイトのセキュリティを突破しているのか、そんなハッカーの技術や気持ち(?)がわかる本になっています。

私自身のセキュリティに関する知見もかなりアップデートされ、非常に有意義な本となったのでここに記録としてレビューを含めて残しておくことにしました。

項目はDay1からDay7までの7項目に分かれていて、 それぞれタスクが用意されています。

Day1

先ずはハッキングの準備です。

TryHackMe で登録を行い、実際にハッカーとして必要な Kali Linux(ハッカーツール全部のせパック)のインストールを行います。

ちなみに私の場合、MacのOSの環境を汚すのが嫌だったので、こちらの記事を参考に、Docker環境に Kali Linux を導入し構築しました。

Day2

初めてのハッキングに挑戦します。

TryHackMe 中にハッキングされる専用のWebサイトが用意されていますので、そちらに向けてハッキングをけしかけます。

Nmap というポートスキャンツールを利用します。

最低限、コマンドラインを使用できるレベルの人であれば不自由なく基本的な動作や解析も行えます。

Day3

Day2でも学習したNmapの結果を利用した脆弱性から対象のWindowsにハッキングしてログインします。

Day2同様に、発見した脆弱性からIDやパスワードを見つけ出し、そこから侵入したターゲットマシンを操るまでを行います。

実際に仮想の Windows マシーンに入れた時は、「こんな簡単に突破できるんだ!」みたいな錯覚を覚え(実際はそううまくはいかないと思いますが)、ハッカーとしての妙な(?)自信が湧いてきます。

そしてやっぱり、Kali Linux(ハッカーツール全部のせパック)さまさまです。

Day4

よくある脆弱性を使ってECサイトを攻撃します。

Burp Suiteという専用のブラウザをインストールしてECサイトを改ざんします。

HTTPS の基本というかいかにHTTPがダメダメであるかもよくわかりました。

Burp Suite はDockerfile に記載がないので自分でアレンジしました。

Dockerfile

Day5

Webフォームから侵入します。

管理者になりすまし、管理者にしかみられない情報を詐取していきます。

Day6

Active Directoryのハッキング実践を学びます。

Active Directoryは主にWindowsで構成されたシステム群の要となる存在で、ここ数年で完全にWindowsユーザーからMacユーザーに成り変わった私はいまいちピンと来ない内容でした。

しかし思い返せば、JTCで働いていた頃の会社のシステムの構成は、まさしくこの Active Directory だったのかなと、少し感慨に耽る思いもありました。

Day7

WordPressのハッキング実践を行います。

何を隠そうこのサイトもWordPressですし、私もこれまでWordPressのサイトの運営や保守を散々してきましたので、妙に面白く学べました。

世界のWebサイトの40%がWordpressと言われており、人が集まるところにはそれだけハッカーにとっても宝の山なのでしょう。

普段WordPressを使う側からの人間からしたら、安易なIDやパスワード、権限を付与して開発なんてできないなと感じさせられました。

まとめ

今回この本のおかげで幅広いハッキング技術を体験できました。

アプリ開発者としてセキュリティの重要性を再認識し、ハッカー視点での理解を深める貴重な学習機会を提供してくれました。

セキュリティ大事!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です