mixi Scrap Challenge 参加報告
はじめに
2015.01.17(土)に東京で開催されたmixi Scrap Challengeに参加してきました.
その内容と感想などを,ざっと書きます.
参加を考えている方の参考になれば,幸いです.
Scrap Challengeとは
概要
mixiが年に3回程度開催している学生向けのセキュリティイベント.
予め脆弱性が作りこまれた,実際のmixiサイトにそっくりなページを攻撃する.
2~3人のグループで解き,グループごとの得点を競う.
問題が複数出題され,好きな順序で解く.
出題内容や範囲
各問では,与える被害とトリガとなる行動,取り出す情報等が指定される.
指定されたとおりの結果が出せれば正解となる.
どのページにどんな脆弱性があるかは問題内で教えられる.
出題範囲はXSS,CSRF,SQLインジェクション,オープンリダイレクトだったかと.
選考
応募書類による審査の上,多数なら抽選. 20名程度に絞る.
参加費用の補助等
交通費片道分+昼夜2食
タイムスケジュール
- 10:40 受付開始
- 11:00-11:15 挨拶,環境(ネット,チャット)設定
- 11:15-12:00 セキュリティ概論
- 12:00-12:30 チュートリアル
- 12:30-13:30 ランチ,休憩
- 13:30-14:00 チーム作業準備
- 14:00-16:30 攻略
- 16:30-17:00 問題解説
- 17:00-17:30 統括
- 17:30-18:30 懇親会
セキュリティ概論
webページの脆弱性についての解説.
過去のmixiの事例(はまちちゃん,perlコード流出など)も脆弱性の具体例として紹介.
また,脆弱性を作りこまない対策として,mixiでは機能要件を決めた段階,実装後の両方でレビューすることなどを説明.
チュートリアル
攻撃対象のサイトにXSSを行い,審判員の確認を受け,得点が加算されるまでの流れを確認した.
感想など
一言でいうと楽しかった!
CTFではXSSやCSRFはやったことが無かったので,新鮮な体験でした.
セキュリティ概論もあり,脆弱性についても,より理解することが出来ました.
特に事例にあがった,残念な仕様は開発者自身では気付きにくいだろうと思いました.
自分では10問中1問しか解けなかったので,力不足を実感する結果となりました.
攻撃の知識+JS力が圧倒的に不足... とりあえず徳丸本で勉強します.
解き終わった後の解説は,とても勉強になりました. できれば,もう少しゆっくりと解説が聞きたかったです.
(セキュリティ概論を予習で済ます形に変更して,その分の時間を解説に充てるとか・・・)
終わった後の懇親会では,他の大学の人と話す貴重な機会が得られました.
他の参加者の人と話すと,自分の知識や経験が少ないことを実感させられます.
社員の方ともお話できて,自由な社風が伝わりました.特に,自己紹介で,もうすぐ転職しますという方がいらっしゃったのは衝撃.
@mixi_engineers: → 数少ない日本からのMarsOneプロジェクト参加者、つまり火星移住計画候補者でもある彼は、その1年後にはさらに火星移住訓練にシフトします。 #mixi_scrap URL
@mixi_engineers: きょうの締めは、実は本日が最終出社日の @kouheiszk にお願いしました。Scrap Challenge経由でエンジニアとして2013年にミクシィに入社し、来月からスタートアップにJoin. そして → #mixi_scrap URL
あと,他大学の方とお話した中で,他大学では学部3年生でも就活モードと聞いて驚きでした. 修士1年に至っては,面接している人もざらとか.
私も来年は就活生となるので,早めに行動開始します!
参加しようか考えている人へ
動的webページ(特に投稿を受け付けるもの)を作ろうかと考えている人は,絶対おすすめ.
脆弱性の紹介だけでは危険性を実感できないので,攻撃を体験できる場を経験しておくと良いかと.
概論やチュートリアルは有りますが,事前知識が無いと少しキツイかも.
教育の場というよりは,腕試しの場または興味を深めるための場だと感じました.
冬の時期のは,特にB3とか修士1年の人は参加するといいかも.脆弱性の勉強に加え,就活が始まっていることが実感できます.
最後に
mixi Scrap Challengeは,XSS,CSRFが演習形式で勉強できる貴重な機会となりました.
mixiの皆様,このようなイベントを開催していただき,ありがとうございました.
おまけ
写真
昼食
懇親会
ビュッフェスタイル.
おしゃれなサンドイッチとか色々.
おみやげ
写真撮り忘れ(´・ω・`) 後でアップします