mixi Scrap Challenge 2014に参加した
11/16に行われたmixi主催のScrap Challenge 2014に参加してきました。
午前[セキュリティ概論]
午前中はWebセキュリティについて解説がありました。
過去にmixiが実際に受けた攻撃についての解説もあって、「やばい感」が伝わってきました。
特にCSRFの実証コードが公開されてしまった話はびびりました。当時脆弱性をどこに報告すればよいか分かりづらく、報告する前に公開されてしまったとのこと。
ちなみに、脆弱性報告先に迷ったらIPAも窓口になってくれるらしいです。覚えとこ。
脆弱性関連情報の届出:IPA 独立行政法人 情報処理推進機構
昼食
写真のデータが壊れてる。なぜ。
とにかくおいしかったです。ごちそうさまでした!
午後[競技開始]
問題に沿って、偽mixiサイトに攻撃してチームごとにポイントを競います。
普段からWebさわっているけど、ちょっとひねった問題とか規格を詳しく知らないと解けない問題もあって一筋縄ではいかず。2時間半があっという間に過ぎ去りました。
あと途中から、集中力を乱す妨害コンテンツが投入されました。組み合わせ爆発おねえさんの動画とか流れてた気がする。いろいろたのしかった!
結果
なんとか2位になりました!
上手く問題分担したりチームワーク良かったと思います。みんなありがとう!
感想
自分が攻撃側に回ってWebセキュリティを学べる凄いイベントだと思いました。
普段から趣味でWeb触ってたりしていても気づかなかった攻撃手法や、「こんな手が!!」と思う目から鱗的な手法も知れて、とても勉強になりました。今まで作ったWebアプリの脆弱性もチェックしておきたいと思います。
お世話になった方ありがとうございました!