僻地の大学院生の雑記帳

趣味や勉強していることについてゆるゆると。

CODE BLUEとAVTOKYOに参加した2017

秋の一大イベント, CODE BLUEとAVTOKYOの参加報告です.

CODE BLUE

11月8-10日で情報セキュリティの国際会議であるCODE BLUEに参加してきました.

codeblue.jp

昨年度もCODE BLUEには学生スタッフとして参加させていただきましたが, 今回のCODE BLUEはday1は学生スタッフ業務と攻殻CTFの準備, day2は攻殻CTFに追われてあっちこっちドタバタとしておりました.

day1に関しては, 業務内容がスライド送りであったため, 割と内容を聞くことができ, 特に, 朝長さんと六田さんによる, 攻撃者の行動パターンに基づく横断的侵害の調査に関する講演は, 大変興味深く勉強になりました.

聴けなかった講演に関しては, 友人のまとめメモをもらったので後で読む.

攻殻CTF

CODE BLUEのday2である10日は朝から講演の裏側で攻殻CTFを開催していました.

 

攻殻CTFとは, 攻殻機動隊 REALIZE PROJECTとSECCON CTF for GIRLS がコラボして行った今回で3回目となるCTF*1のことです.

2017.seccon.jp

f:id:same_hr:20171114234007p:plain

私は攻殻CTFの競技ネットワーク構築とスコアサーバ周りの設定, そして, crypto200,300(中級・上級)の作問を担当しました. web担当じゃないの!?と各方面から驚かれましたが, 今回はCryptoの作問を担当しました. Cryptoについても興味があるので、特にCrypto300を作問するにあたっては, がっつり自身で勉強する機会にもなりとても良かったです. 

もちろん一番の愛はwebにあるけど.

競技当日の様子

f:id:same_hr:20171114234128p:plain

競技中は, 昨年の開催報告や競技の実況中継を行なっていました. 思っていたよりもたくさんの方が中継を見にきてくださり, ちょいと緊張... 休み時間にはCTF for GIRLSの活動に興味を持ってくださった方が話しかけてくださり, まだまだやれることはたくさんあるなと感じました.

ところで, 本当にAMATERAS零がひたすらかっこよかった...新機能も追加されていて本当にすごい...見学の方と本当にすごいですよね!かっこいいですよね!!とはしゃいでいたことは秘密.

競技結果

f:id:same_hr:20171114234025p:plain

今回はCTF for GIRLS初の取り組みである国際大会だったのですが, 1位PPPの方, 2位台湾のAIS3の方, 3位は韓国の学生さん...と, 海外勢が上位をかっさらっていきました. やっぱり強い, 海外勢. 日本勢も健闘しており, 4-6位あたりには食い込んでいました.

CODE BLUEのclosingでは, いきなり私が壇上に上がって表彰することになり, オタクめちゃめちゃ焦りましたがなんとか無事に終わりました...(たぶん)

お礼と反省

反省は山のように...(大土下座大会)

今回, 中心となって競技用のネットワークを構築したのですが, その辺りをきちんと担当するのが初めてだったこともあり至らない点だらけで, 前日の準備もバタバタでした.

関係者の皆様には本当にご迷惑をおかけいたしました, そして本当にありがとうございました. 皆様に助けに助けていただいたおかげで, 当日は無事競技を行うことができました. 反省点は山のようにあるので, 反省会をして, 次回に活かしたいと思います.

関係者の皆様, 本当に本当に本当にありがとうございました.

そして, 低レイヤーを勉強する, 低レイヤー.

AVTOKYO

CODE BLUEの翌日, 11日はAVTOKYOに参加しました.

攻殻CTFが終わって安心して気が抜けたのか, 目覚ましもかけずに寝ていて起きた時には... (15分くらい遅刻しました.)

ja.avtokyo.orgAVTOKYOまとめ:

  • バッジで遊べるclickerでポイントを貯めまくる
  • プロ各位の生存確認をする
  • SEQCONに出場して-1点をとる
  • clickerで頑張って貯めた云千万点のポイントを吹っ飛ばす

以上です.

嘘です. 個人的には, pancakeさんによるradare2のお話, 石川さんによるred teamのお話が大変興味深かったです. 心残りは0xINT CTFに参加できなかったこと. 来年こそはチャレンジする.

あとは, バッジの中身を解析してAVポイントを大量にgetするまでは私の中のAVTOKYOは終わらない...

まとめ

本当に濃い4日間でした. プロ各位といろいろな話ができ, とても楽しかったですし, いろいろな知見を貯めることができました.

みなさま本当にありがとうございました!!

f:id:same_hr:20171114233857j:plain

 

*1:情報セキュリティの技術力を競う大会

脆弱性診断 初心者ハンズオントレーニング に参加した

勉強会 セキュリティ

10月7日土曜日に, 脆弱性診断 初心者ハンズオントレーニング に参加してきた. OWASP Japan, ISOG-J WG1, そして, Burp Suite Japanの共催によるトレーニングで, 脆弱性診断ガイドラインに沿って診断を学ぼうというもの. 会場はサイボウズ株式会社さん. 森があってフクロウがいた....すごい...

以下, トレーニングの流れを簡単に紹介する.

導入

脆弱性診断士スキルマッププロジェクト ( Pentester Skillmap Project JP - OWASP ) の紹介, そして, そのプロジェクトの一環として2017年4月にリリースされたWebアプリケーション脆弱性診断ガイドラインの紹介があった.

脆弱性診断士スキルマッププロジェクトとは, 以下の通り.

脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性診断を行う技術者(以下、脆弱性診断士)のスキルマップと学習の指針となるシラバス脆弱性診断を行うためのガイドラインを整備しています。

Pentester Skillmap Project JP - OWASP

スキルマップ&シラバスには, 脆弱性診断士に必要なスキルがかなり細かく記載されており, 診断士を目指す人にとっても, また, 診断を依頼する人にとっても診断士のスキルを具体的に把握することができるのでとても参考になると思う. ガイドライン・スキルマップ&シラバスは誰でも上記プロジェクトのリンクから閲覧, ダウンロードすることが可能である.

ちなみに, 私の作業机の横には印刷したスキルマップが貼ってあるゾ(・-・)v .

HTTP基礎入門

webの構成技術のお話. HTTPのパケット構成の話やステータスコードの話などHTTP通信について, 初心者がトレーニングを受けるにあたって最低限とはいえ基礎がしっかりと抑えられた講義となっており, とてもわかりやすくまとまっていた.

Burp Suiteの使い方

Burp Suiteとはなんぞやから始まり, 使ってみましょう〜, という話. Burp Suiteとは, ローカルプロキシの1つ. 詳しくは, Burp Suiteスタートアップ用ドキュメント が公開されているので参考に.

今回は, Badstoreという, 脆弱性について勉強するために意図的に脆弱性が作り込まれたwebアプリケーションとBurp Suiteを用い, 実際に診断の一部分を体験した. トレーニングでは, BadstoreをBurp Suiteのプラグイン形式にした箱庭BadStoreが用いられたのだが, ISOイメージとして配布されている元祖Badstoreしか使ったことがなかったので, 簡単に導入できて非常に使いやすかった.

この講義では, 後半に行われた診断実践の前段階として, Burp Suiteを用いてBadstoreとの通信をキャプチャをするところまでがハンズオン形式で行われた.

ガイドラインの見方

ガイドラインの見方についてのお話. (ガイドラインスキルマッププロジェクトのページからダウンロード可能.)

ガイドラインには, 導入にあった通り, かなり細かく診断を行う上で最低限必要な診断項目と手順が書いてある. 実際に投げるペイロードの例から, 脆弱性がある場合とない場合でのレスポンスの違いなどまで丁寧に記載されているため, 誰にでもとてもわかりやすい作りとなっているよ. ほんと丁寧!!

Badstoreでの診断実践(SQLinjection & XSS)

SQLiとXSSの診断例の紹介から, 実際にガイドラインに沿って診断やってみよう〜という講義. 実際にBadstoreに対して診断を行ったのだが, ゴリゴリ診断してみよう! というよりは, トレーニング後に自身で診断の勉強がしやすいよう, Burp Suiteのいろいろな使い方を学んで一人で使えるようになろう! という感じの講義だった.

まとめると, 診断って地味で辛いんだよ! というメッセージが聞こえてきた.

みんな, 徳丸本安全なウェブサイトの作り方 を読んで, 安全なWebアプリケーションを作れるようになろうねとのこと.

 アクセス制御系の話

認可制御の不備についての座学. 認可制御の不備は重大な脅威に直結するので気をつけましょうねというお話が, 不備のある制御の例などを交えてなされた.

とてもわかりやすかったので, 個人的にはアクセス制御系の話も手を動かしながら学べればより楽しいかな, と思った.

まとめ

とても丁寧に体系立てて構成されていたトレーニングだと感じた. 独学で勉強したり手元で動かしている初心者学生だし...と思って参加したが,

対象:脆弱性診断作業を行ってみたい/覚えたい初心者

脆弱性診断 初心者ハンズオントレーニング - connpass

の通り, レベル感としては, ローカルプロキシに触ったことがほぼない・診断は普段全くしないけれど興味がある人向けなのかな, と感じた. 普段から趣味でBadstoreやOWASP BWAなんかで遊んでるよという人は, 想定されている対象とは少し外れているのかなという感触.

# もう一段階上のレベルの勉強会が開催されることになったら, 是非参加したい!!

次の開催も検討中とのことなので, 興味があるけれどレベル感に不安が...ということを考えて躊躇っていた人は, やる気だけ持ってとりあえず参加してみれば優しい運営の皆様に助けてもらえると思うのでぜひ. (ちなみに, Webなんて全然わからん! 不安だ! という人は, HTTPの通信のパケットの構成やSQLinjectionやXSSについてさらっと勉強していくと, ハンズオンにもスムーズに入れるのではないかと思う. )

運営の皆様, ありがとうございました!!