無知を晒す

ふだんの出来事はこっちに書いてます: http://tana.hatenablog.com

mixiのScrap Challengeに参加してきた

12月14日(土) に行われたmixiのScrap Challengeに参加してきました!!

Scrap Cahllengっていうのはどういうイベントかというと,

こちらが出題する問題を制限時間以内に解き、獲得ポイントをチームごとに競う形式のイベントです。Webセキュリティに関する簡単なレクチャーのあと、2~3名でチームを組み、仮想環境下に設けられたセキュリティホールを見つけていただきます。

Scrap Challenge 2013 | 株式会社ミクシィ 学生向けエンジニアイベント

といった学生向けのイベントです.mixiをベースに,わざと脆弱性を埋めたサービスに対して実際に攻撃をしかけていきます.チームは当日発表されるので,友達と申し込んでも同じチームになれる,ということはないです.

用意される脆弱性についてはかなりオーソドックスな感じで,かつ「このページにアクセスしたらalertが出るようにして下さい」みたいな形で問題やヒントが出るので,パズル感覚で取り組めます.また,問題のシナリオも良くて,徐々に深刻な攻撃をしていくことになり,最後の問題については解きかたがわかった時*1におおっと声が出ました.なるほどこれならうっかりさんの○○を××できるなあ,みたいな感じでした.怖い!!

全体を通して,脆弱性の仕組みと,利用してどんな攻撃が出来るのか,というのが一日で学べてとても有意義だったと思います.

実践を通して攻撃手法を知ることの重要性っていうのは絶対にあって,例えばXSS対策を考えるときに,単純に「とりあえずエスケープしとけばいいんでしょ」みたいな発想でいると,こういうのは防げない気がする.仕組みがわかってることで,ユーザが操作可能な文字列を挿入するコードを書いたら緊張すると思う.

あとは小さな脆弱性でも決して甘く見てはいけないっていうのが,イベントを通して得た一番の学びだったと思います.脆弱性怖い!!!

そんな素敵な恐怖体験ができるScrap Challengeですが,年明けにも開催されるようなので,興味がある人は絶対参加したほうがいいです!

攻略のためのアドバイスとしては,早期にチーム内での連絡手段としてSkype部屋たてると捗ると思います.この入力でちょめちょめしたいんだけどうまく動かない,みたいなのコピペで共有できて超便利です.

おまけ

f:id:side_tana:20131215115322j:plain

これからはCSSおじさんではなくXSSおじさんって呼んで下さい.嘘ですXSSおじさんは僕が名乗るにはちょっと重いです...

*1:攻撃するためのURLをつくるまでに数分足りず,点数はつかなかった