スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

web拍手 by FC2   

"Scrap Challenge for security"

なんだかブログレイアウト崩れててごめんなさい・・・
早く直したいです・・・

オレオレアドベントカレンダー 3日目

ミクシィがおくる、学生向け実践型開発イベント
アドベントカレンダー全く関係無くね?な感じですが、オレオレなのでまあ、その一環としていいんじゃないかなと。

というわけで、株式会社ミクシィさんが主催のCTFチックなイベントに参加してきました。
結果からいいますと、1問はニアミスで、9完でした。
後述しますが、ヒントの影響で若干点数が下がりましたが、1位でした!
(トロフィーもらいました!ありがとうございます!!)


こういうCTF的なイベントは、システム構築が大変そうな影響なのかあまり行われないので、貴重な体験になりました。
(実際のサービスにオラオラして何かあったら困りますしね....)

僕はCTF/Webセキュリティを少々かじる程度やっているところだったので、丁度いいタイミングでの力試しといいますか、そういった機会でした。

イベントの概要としては、
・1チームあたり3人。
・仮想のmixiがEC2?で立てられている
・全ての機能が動くわけではない
・動く機能に脆弱性がある
・出題にあったXSSをして、それが確認できるURLを仮想mixi内の管理者に送る
・合っていたら問題に応じた得点がチームに加算される
・15分だか20分だかでヒントが出て、得点が下がる。
・全10問
・1問?2問?はXSSでないもの。
・最終的に得点が高いとこが勝ち。
といったものです。

問題はXSSのみで、SQLインジェクションとかはなかったです。
最後にXSSでクッキーを出してからのセッションハイジャック的な問題がありました。
あと、GETやPOSTのパラメータいじったりするものはありませんでした。

概要にあるように、XSSしてその結果を見てもらうので、総当りして旗を出すとかいうことはできないです。
あと、紳士的にやりましょう、ということで他人のプロフィールを見て解答の推測や他人垢でログインするのもなし。
どっかのCTF行って来ました日記で見た、入力画面を見られて云々なんてことはないのでそのあたりの心配は不要で、ひとまず安心?

15分~30分程度にでるヒントですが、最後の9,10に関してはありませんでした。
(それ以外はヒントが出る度に-2点くらいだったかと。)

ヒントのレベルとしては、〇〇で調べてみるといいよ!みたいなものや、〇〇で脆弱性が!とか。
それから〇〇を使おう!とか〇〇の△△を確認しよう!とか。だいたい2段階くらいですね。
どこも解けなかった3番に関しては最後のヒントで3つめ(ほぼ答え)が出ました。

僕たちのFチームではできそうな問題から解いていく、という分担作業で攻めました。
僕は6~10を答えて正解でした。ヒント減点がありましたが、30~40点くらい?半分とちょっとくらい貢献しました。
が、ヒント減点が出てしまったのがなしみ...「俺氏~それくらいわかってくだされ~~」みたいな。つらい。
1~5も軽く見ましたが、発想力だか知識だか若干足りてないようで、わからない感じで云々。


ミクシィさんからステマしとけと言われたのでかきます。
参加賞?として
・"m"印クッション(ちっちゃいの
・"m"印クリアファイル
・"m"印の木枠台とメモ紙
・SHOT Note(ペン付き、mixiロゴ入り)
・カラビナキーホルダー(mixiロゴ入り)
・mixiステッカー
・mixi紙袋
優勝記念として、立派なトロフィーをいただきました!

メモ帳やshotnoteなんかは使う機会多そうなので重宝します!ありがとうございます!

写真はググったらでてくるかもです。
TW/FBに載っているので、別にこちらに載せなくてもいいかなーと。

株式会社ミクシィ 学生向けエンジニアイベント “Scrap Challenge for security” に書いてあるように、次回は1月?にあるようです。

セプ(キュ)キャン経験者とか、ガチ勢な方々もぜひ参加しましょう!(と言っといてくれって)
や、ほんと、こういうイベントあんまり無いですし参加したほうがいいですよ。


このなかで僕が学んだことというのは、XSS改めてこわいなーと。
イベントはとても楽しかったですが、これがもし仮に僕がwebサービス作って攻められたらどうなるんだろうか、、
いや、そんな個人情報ガンガンなサービスを作るかどうかも微妙ですが...
(そうじゃなくても、踏み台にされたり。例えばXSSで別サイトに対するのCSRF用の何かを埋め込まれたり。
そうしたらお前のとこからアクセスあるんだけど、なにこれ。とか。

また、セキュリティってのは技術ももちろんのこと、それを実現するためのコストやリソース、ビジネスとの兼ね合いが非常に大変だなと思いました。(@haruyama 氏の講義より

セキュリティかじりはじめとはいえ、知識/技術ともにまだまだです。もっと勉強していきたいですね。
がんばりましょう。

それでは、本日は参加者やスタッフの皆さん、ありがとうございました!お疲れ様でした!!


追伸
徳丸本欲しいので誰か送ってください....w


web拍手 by FC2   

コメントの投稿


非公開コメント

コメント

STERS's Development Room

STERSの開発室っぽい何か。


プロフィール

Name:STERS
Unity3D/C#/PHP/js/C++/VB
などを勉強中です

[STERS's Room]
[ファイル置き場]

カテゴリー
最近の記事
最近のコメント
カレンダー
05 ≪│2017/06│≫ 07
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 -
RSSリンクの表示
ブログ内Google検索
Google
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。