Scrap Challenge 2015に参加したよいよい
どうも、まるさ@maruusa83です
おひさしぶりでございます・・・
せっかく新設したブログなのに更新しなさスギィ!
mixiさんが開催するセキュリティイベント、Scrap Challenge 2015に参加して参りました。
参加のきっかけ
これまで色々とシステムを作ってきて、セキュリティ大事!大事!とか言いつつも講義で耳にするような部分だったり有名な範囲でしか対策できておりませんでした。
いつか勉強しなきゃいけないだろうなあ、と思ってたところでmixiさんからこのイベントへお誘い頂いて、参加することになりました。
午前:おべんきょうとか、チュートリアルとか。
隣の席の人全然来ないケドなんか見知ったような名前だなあと思ったら、本当たまたま、同じ大学・学科・学年の編入生仲間でした。来るならそうと言えよ(何様
というかね、下の名前もちゃんと覚えようね、ボク。
自分のノートパソコン持ってませんでしたから、姉上に貸していただいたPCを使いました。
キーボードも忘れたし、色々ままならねえ。とりあえずVimとChromeいれました。
ChromeのDeveloper Toolsはないと困るけど、エディタは特に必要なかったれす。
どうでもいいか。
Webセキュリティに関しての基礎知識について一時間弱ほど講義していただきました。
知らない名前の攻撃ばかりで理解するのが大変でございました。
というのもあって講義中は結構不安でしたが、競技が始まって手を動かしてみると、理解できるようになりました。
昼食:The Day of Yakiniku 3
本日は焼肉の日(8月29日)であるので、叙々苑Bentooを支給していただきました。
支給された(829) pic.twitter.com/HrKRMMGNXW
— 名状しがたいマルサのようなもの (@maruuusa83) 2015, 8月 29
なんというかまぁ美味しくないわけがないよね。
社員さんとのおしゃべりを楽しみながら頂きました。
午後:キョウギ
お腹いっぱい幸せ気分に浸っていたら、それとなく競技開始してて焦る。
問題の内容としては、次のような分野から数問ずつ出題されました。
- CSRF脆弱性
- DOM based XSS
- SQLインジェクション
- オープンリダイレクト脆弱性
実際に問題を見るまでどういうことをすれば良いのか知らなかったし、問題を見てもぶっちゃけよくわからなかったけれど、2問くらい解くことができました。CSRF脆弱性の問題と、オープンリダイレクト脆弱性です。
全然解けなかったので、チームメイトにはご迷惑おかけしました・・・。
実際に攻撃してみて、ようやくちゃんと理解できたような部分もたくさんあったので、結構面白かったです。というか競技そのものもかなり勉強になりました。
感想
たのしかったです(小並感)
小学生でももっといい感想かけそう
そもそもWebに造詣が深いわけではなかったので色々と苦戦しましたが、解説を理解するには十分でした。SQLの存在とGETとPOSTの違いが判ってれば大丈夫な気がしました(雑)
Webセキュリティについて全然しらなくても(というか知らないからこそ)参加するとよいと思います。
参加するまで色々と心配でしたが、参加してよかったと思います。
ありがとうございました!
ゲストの@ockeghemさん, @icchyr さん, 来場者のみなさん, そして出題/運営/構築/鴨ネギのみなさん. 今日もどうもありがとうございました! また次回! #mixi_scrap #mixi_collabo pic.twitter.com/jlsFKX0Hjz
— mixi engineers (@mixi_engineers) 2015, 8月 29