神戸情報セキュリティ勉強会で講師をしてきた
第7回神戸情報セキュリティ勉強会で、講師をしてきました
お題は、「Web アプリケーションのセキュリティとは? 〜脆弱性の実践を通じて〜」
ということで、SQLインジェクションやOSコマンドインジェクションを実際に探して動かしてもらいました。*1
参加者の皆さんのレベルが分からず、どの程度のデモがいいか、当日朝まで色々考えていましたが、
まずは、体験ということで、難しくないレベルを採用しました。結果、なにもない状態からの脆弱性発見プロセスを体験いただきましたが、ちょっとレベルが高かったみたいで
ヒントを出して、どうにか見つかった感じでした。
でも、参加者の皆さんに楽しんでもらえてよかったです。
ディスカッション
開発者、運用者、その他で、それぞれ今回の体験を、話してもらいました。僕は、運用の内容で、はまっちゃいましたwwww
とっても、楽しいディスカッションで面白い限りでした!!!!やっぱり、神戸流だな>ディスカッション
次回
次回は、id:tessyさんか、id:kenjiaikoさんに、出張CTF勉強会(CTFの100の解法をデモしてもらって、それを参加者が、その通り習う感じ)をお願いしたいなぁとか思っています。是非よろしく〜〜!*2
CTFのレベル100を通すと、セキュリティ解析系の色々を体験することができると思って。
雑記
今回、朝一でid:Pasta-Kくんを誘ってみた(開始数時間前)それで、きてくれたid:Pasta-K君に拍手!
Blogでの反応
急にPasta-kさんを誘ってみたが、きてくれた、ほんとうにありがとーーー!
懇親会でも、参加者が、すごいよねぇ、中3なんて、女の子ばっかりみてたよねぇ、とかいってた!w
あんまり内容書くとアレだと思うので書きませんが、地図持ってなかったので迷いに迷い、たまたま飛び込んだファミマがカーネギーメロン大学の隣の建物でした。よかった。
神戸セキュリティー勉強会(通称セキュメロ)に行ってきたー - Pastalablog in はてな
あと一瞬スゴイ雪でしたねー。ビックリ。
ディスカッションの内容の発表もさしてもらった。
来週もがんばるぞー。
ありがとうございます!おかげさまで、皆さんも体験できるものが披露できました
また、色々考えますね!
前半は、セキュリティホールのある掲示板を実際に改竄する、という実践型でした。クロスサイトスクリプティング、SQLインジェクション、OSコマンドインジェクション等、知識としては知っていることですが、実際に攻撃するという体験ができたのが良かったと思います。
http://d.hatena.ne.jp/ounziw/20090111この情報砂漠〜♪
情報収集の問題点も議論しました。情報が手に入れやすくなって、情報砂漠から抜け出したが、情報樹海になっているのが現状のようです。またインターネット検索で見つかったセキュリティ情報が最新である保証が無いのも悩みの種です。
http://d.hatena.ne.jp/ounziw/20090111
早くも第7回のまとめ資料でました!!!>GJ!>ynagaoさん
第7回神戸情報セキュリティ勉強会まとめ(PowerPoint?)
http://kobesec.hiemalis.org/?%C2%E87%B2%F3%BF%C0%B8%CD%BE%F0%CA%F3%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%CA%D9%B6%AF%B2%F1
けろよんさんのレポートありがとうございます。
脆弱性をひとつに絞ったほうが良かったか・・・・wwwwwww
大体想像ができたのですが、今回は事前に3つの脆弱性の説明があったあとで、さぁどうぞ!という感じの実践でしたが、攻撃手法が1つに絞れないだけで一気に難しくなりました。
http://kaeru.homeip.net/bata2/archives/2009/01/11-223707.php
結局「どこにどんな脆弱性があるよ」というようにほとんど答えやん!っていうようなヒントをもらわないと攻撃できない有様。まだまだ修行?が足りませんな。
あとは、なんかブラウザの調子が悪かったのかよくダンマリになってしまったというのと、なんか目の色変えてアタックするのも恥ずかしいなーなんてシャイなことを思ってたりしたので、出足が遅かったというのもありますが。。。やられサーバなら、白夜書房のHackerJapanに以前ついてきましたし活用されてみては・・・
社内でもそういう人結構いるので、一度シナリオ作って社内でやってみようかなーなんて思ってます。
http://kaeru.homeip.net/bata2/archives/2009/01/11-223707.php
ガンバロー。なんだか自己啓発チックです(笑)私は・・・特に当日発表だけなので・・・www>作ってくれた某人に感謝!
何はともあれ今回は色々勉強になりました。
http://kaeru.homeip.net/bata2/archives/2009/01/11-223707.php
いつも会場を提供していただいてるCMUJのスタッフの皆さん、スタッフの皆さん、発表されたまっちゃさんには、感謝感謝です。
岡本社長のBlogです!まず敵の考えることをしることも必要と言うことで、机上だけでなく実践も楽しいものですね。
でも、参加された方悪用厳禁!ですよ!!!
今回は従来のセキュメロとは少し異なり、やられサーバに対して、みんなで攻撃をかけ、実際に改ざんを行ってみるということをやりました。
http://blog.withit.jp/2009/01/11/aeoaidheoyyyayeyaeyeunoyyyayayi-i/
これは、攻撃の手法を体験、学ぶことにより、いかにして守るか?を考える非常に有効な方法です。
私自身、エンジニアではないので、理屈はわかっているつもりではありますが、実際にコマンドをたたくことはできませんから、実演を見れたことはとてもためになりました。
ありがとうございます!色々変えていこうと、手を尽くしていますw
神戸セキュメロは勉強会というよりディスカッションがメインなちょっと異色な勉強会。
神戸セキュメロ - fooの日記
その場で全然違った立場の人や、学生や一般の人たちと話せるのが楽しい。
今年は、さらに変えようと模索しているので期待大。次回も是非!次回は出張CTF勉強会の予定です!
今回は Web APについて実体験。
神戸セキュメロ - fooの日記
言葉だけ知っていた脆弱性を体験することができた。
あんまり書けないけど、答えをきいて実際やってみると本当にあっけなくできてしまう。
珍しい体験させてもらいました。
手を動かすことができるので楽しいけどPCが無いと退屈だったかも。
PC貸し出してくれてたけどなるだけPC持って行ったほうがいい。神戸の場合は結論を求めてディスカッションしているわけではなく、みんなで情報共有、統一認識を持って、まとめへのプロセスを大切にしているんですよ。
なので、毎回まとまらなくてもOKです。と言っているのはそれでです。日ごろの不安や相談したいことを相談できたらいいんですよw
ディスカッションはテーマだけ投げて、その場での雑談になるのでまとめが大変。
神戸セキュメロ - fooの日記
まとまらなくて「こんな話になりました」になる場合が多い。
簡単に解決できないテーマでもないし、いろんな意見を聞いたり、ぶつけたりして
考えていくことが大事なんじゃないかな。結果よりも過程が大事だし。