セキュリティ初心者がmixiのScrapChallengeに行ってきたお話
11/16にあったmixiのScrapChallengeというイベントに参加しました。
これです。
Scrap Challenge 2014 | 株式会社ミクシィ 学生向けエンジニアイベント
何をやるイベントかというと参加した学生でチーム組んで仮mixiを攻撃しようぜ!ポイントで競い合おうぜ!っていうイベントです。
例のごとく文章書くのが下手だから、文を読むのが辛い人は一番下にあるご飯の写真だけ見ればいいと思う。
イベントに内容についてもうちょっとくわしく
午前中はセキュリティに関する講義を受けました。
社員さんがXSSとかSQLインジェクションとか、サイトの脆弱性をついた一般的な攻撃手法とそれについての対策をスライドで教えてくれます。
あと昔mixiが攻撃された事故を教えてくれました。はまちちゃん事件とか。
後々調べなおしたら脆弱性をついた攻撃の例って結構あるんですね、アプリケーション作る時っていろんなことを考えないと大変なことになるんだなあと感じました。
午後はいよいよ仮mixiを攻撃する時間でした。
スクショとるの忘れましたが仮mixi、超mixiでした。たぶんあのサイトがフィッシング詐欺とかで出てきても見破るの無理だと思います。
問題は言わないでねって言われたので詳しく言えませんが、10問くらいあってXSSとかCFRSとかの脆弱性ついたり、SQLインジェクションしたり色々しました。
私が解けたのは1問だけでしたができたときはすっごく楽しかったです!
イベントが終わった後に、昔作ったサイト(今は公開してない)引っ張ってきてみたら脆弱性だらけでした。危ない。終わった後に懇親会がありました。一番下にスクロールさせるとその時のご飯写真が見れます。
感想
知識があまり付かないまま行ったので、チームメンバーにお役に立てず申し訳ないです。アプリケーション作る時だったり、サービス作る時に何を一番に考えるかっていうとやっぱりお客さんだから、ちゃんと考えて設計するのって重要なんだなあと実感しました。徳丸本読みます。
ご飯
お昼ご飯
お昼ご飯は釜飯がでました。後半はだし茶漬けみたいな感じにして食べました。
懇親会
DEAN&DELCAの仕出し?なのかなよくわからないけど串いっぱいたべた
どうでもいい余談ですがVimmerが多くてemacs派な私は懇親会でボコボコにされましたつらい。いいじゃないemacs!