mixi Scrap Challenge 参加報告

はじめに

2015.01.17(土)に東京で開催されたmixi Scrap Challengeに参加してきました.

その内容と感想などを,ざっと書きます.

参加を考えている方の参考になれば,幸いです.

Scrap Challengeとは

概要

mixiが年に3回程度開催している学生向けのセキュリティイベント.

予め脆弱性が作りこまれた,実際のmixiサイトにそっくりなページを攻撃する.

2~3人のグループで解き,グループごとの得点を競う.

問題が複数出題され,好きな順序で解く.

出題内容や範囲

各問では,与える被害とトリガとなる行動,取り出す情報等が指定される.

指定されたとおりの結果が出せれば正解となる.

どのページにどんな脆弱性があるかは問題内で教えられる.

出題範囲はXSS,CSRFSQLインジェクション,オープンリダイレクトだったかと.

選考

応募書類による審査の上,多数なら抽選. 20名程度に絞る.

参加費用の補助等

交通費片道分+昼夜2食

タイムスケジュール

  • 10:40 受付開始
  • 11:00-11:15 挨拶,環境(ネット,チャット)設定
  • 11:15-12:00 セキュリティ概論
  • 12:00-12:30 チュートリアル
  • 12:30-13:30 ランチ,休憩
  • 13:30-14:00 チーム作業準備
  • 14:00-16:30 攻略
  • 16:30-17:00 問題解説
  • 17:00-17:30 統括
  • 17:30-18:30 懇親会

セキュリティ概論

webページの脆弱性についての解説.

過去のmixiの事例(はまちちゃんperlコード流出など)も脆弱性の具体例として紹介.

また,脆弱性を作りこまない対策として,mixiでは機能要件を決めた段階,実装後の両方でレビューすることなどを説明.

チュートリアル

攻撃対象のサイトにXSSを行い,審判員の確認を受け,得点が加算されるまでの流れを確認した.

感想など

一言でいうと楽しかった!

CTFではXSSCSRFはやったことが無かったので,新鮮な体験でした.

セキュリティ概論もあり,脆弱性についても,より理解することが出来ました.

特に事例にあがった,残念な仕様は開発者自身では気付きにくいだろうと思いました.

自分では10問中1問しか解けなかったので,力不足を実感する結果となりました.

攻撃の知識+JS力が圧倒的に不足... とりあえず徳丸本で勉強します.

解き終わった後の解説は,とても勉強になりました. できれば,もう少しゆっくりと解説が聞きたかったです.

(セキュリティ概論を予習で済ます形に変更して,その分の時間を解説に充てるとか・・・)

終わった後の懇親会では,他の大学の人と話す貴重な機会が得られました.

他の参加者の人と話すと,自分の知識や経験が少ないことを実感させられます.

社員の方ともお話できて,自由な社風が伝わりました.特に,自己紹介で,もうすぐ転職しますという方がいらっしゃったのは衝撃.

あと,他大学の方とお話した中で,他大学では学部3年生でも就活モードと聞いて驚きでした. 修士1年に至っては,面接している人もざらとか.

私も来年は就活生となるので,早めに行動開始します!

参加しようか考えている人へ

動的webページ(特に投稿を受け付けるもの)を作ろうかと考えている人は,絶対おすすめ.

脆弱性の紹介だけでは危険性を実感できないので,攻撃を体験できる場を経験しておくと良いかと.

概論やチュートリアルは有りますが,事前知識が無いと少しキツイかも.

教育の場というよりは,腕試しの場または興味を深めるための場だと感じました.

冬の時期のは,特にB3とか修士1年の人は参加するといいかも.脆弱性の勉強に加え,就活が始まっていることが実感できます.

最後に

mixi Scrap Challengeは,XSS,CSRFが演習形式で勉強できる貴重な機会となりました.

mixiの皆様,このようなイベントを開催していただき,ありがとうございました.

おまけ

写真

昼食

釜飯でした.モンスト水も一緒にいただきました. f:id:mbuchi:20150120145244j:plain

懇親会

ビュッフェスタイル.

おしゃれなサンドイッチとか色々.

f:id:mbuchi:20150120145315j:plain

おみやげ

写真撮り忘れ(´・ω・`) 後でアップします

広告を非表示にする