読者です 読者をやめる 読者になる 読者になる

夏のScrap Challenge 2014に参加してきた

8月23日(土)にScrap Challenge 2014に参加してきた

Scrap Challenge 2014 | 株式会社ミクシィ 学生向けエンジニアイベント

参加のきっかけ

なわてぃー(@sakuna63)に誘われて,気軽な気持ちで応募したら参加できることに. Webセキュリティはもちろん,他のセキュリティ関連の知識もほぼ0の状態. kosenconf080tokyoでうみさま(umisama)がXSSについての話をしていて,そんなものがあるのか〜という程度の認識.

午前

午前中はWebセキュリティについてを講義形式で学んだ. 講義に使ったスライドは非公開の模様. 一般的な脅威の例から,実際に起きた事件やmixiでの取り組みについて. また安全なWebアプリケーションにするためにはどうすればよいか(XSS,CSRF,SQLインジェクション,オープンリダイレクタの概要と対策)についてを教えていただいた.

講義の時間が45分しかなかったので,おおまかの内容をサラッとやるかんじだったのでかなり駆け足. SQLインジェクションなんかは存在をここで初めて知った.

読んでおいたほうがいいというもので以下の2つを紹介された

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構

お昼

チームのメンバー3人とmixiの社員の方1名と同じテーブルでランチを頂きました. その社員の方が高専出身&大学が一緒ということを知り,妙な親近感が.

午後

A~Fのチームに分かれて,擬似mixiセキュリティホールを攻撃してチーム毎の得点を競う. 得点は運営側から出された問題の難易度,クリアしたスピード,数で決まる. 僕は10問中3問を解答(といっても難易度の低いものだったが).XSS,CSRF,オープンリダイレクタに関する問題だった. それでもクリアできたの喜びは大きい!

他のメンバーはSQLインジェクションの問題を解いてたりしていてすごかった!

結果

僕のいたBチームは残念ながら入賞ならず. 優勝したCチームのお2人おめでとうございました! 他のチームは3人だったのに対しCチームは2人だけで,しかも史上初の全問正解は凄すぎた!

模範解答を見たらもう一歩考えが及ばず,という問題が多数. 非常に悔しい.

懇親会

大量のアルコールとピザ,寿司,タイ料理(?)でワイワイ懇親しました. 色々お話できて楽しかった! セキュリティキャンプ参加者の人もちらほらいて話を聞いてみると「超楽しいから絶対参加したほうがいいよ!!!!」との情報を得たので,来年は応募してみよう(ただ何回もセキュリティキャンプの選考を落とされたって人もいました...)

あと海外情報を入手するための知見を得た.

Product Hunt

Ruby Weekly: A Free, Weekly Email Newsletter

Hacker Newsletter - The Hacker News Newsletter

時間の都合で懇親会に最後までいれなかったのが非常に残念. とても楽しい時間であった.

所感

ハックできない人は人権無くて怖い人にボコボコにされる会だと思ってたけど(本気でそう思ってた.会場に付くまでずっと暗い気持ちだった),全然そんなことなくて安心した. チューターの方々も僕の超基本的な内容の質問にも丁寧に答えてくれて,参加者も個性的な人ばかりだった.

そして何より考えながら課題を攻略するのが想像以上に面白かったし,今までに無い体験ができたのでとてもよかったと思う. Webに関してはこれからも関わっていきたいと思っているので,セキュリティについて意識するいい機会になった. 徳丸本とか読んでもっと理解を深めていきたい.

Webセキュリティの勉強をしてきたから自分の腕試しをしたい人や,興味があるけど何をしていいか分からない人なんかは参加してみるときっとよい経験になるだろうからオススメ.

最後に指導してくださったmixiの皆様ありがとうございました.