読者です 読者をやめる 読者になる 読者になる

WTF!?

オンサイトCTFのWriteupとか書いてく.

ScrapChallenge 2015 に参加した

ScrapChallengeとは

mixiの社員の方がmixiサービスのクローンに対して脆弱性を仕込み,
その脆弱性をいかに早く発見し,攻撃できるかというイベント.

alpha.mixi.co.jp

前々からWebセキュリティの知識が足りてないところがあり,
また実際のサービスの脆弱性は何処に目をつけて探せばいいのか知りたかったので
Webセキュリティの人権を得るために参加した.


始まる前

会場に着くと既にチーム分けがされており,
農工大の方々(2人)との3人構成のチームだった.
(後から聞いた話によると今回は地域別にチーム分けをしたらしい.)


Webセキュリティ概論

Webセキュリティの基礎的な説明を受けた.


チュートリアル

小手試しにXSSを見つける問題が出た.


ランチ

8月29日(焼き肉の日)ということで,叙々苑の焼肉弁当を用意されていた.
ここまで豪華な昼ご飯は久しぶりだった.


競技開始

最初は5問公開された.
取り敢えず取れそうな問題を解こうとしたがなかなか解けず,
Hintが出されてからやっと1問解けた.他の二人もその内に何問か解けていた.
その後6問公開され,そっちのほうが解きやすそうだなとやってみたところ,
時間はかかったものの1問解けた.
その頃には他2人が前半の問題をある程度解いてくれていた.
隣の席の人に後半の問題をバトンタッチし,
前半の解けていなかった問題をギリギリsubmitしたところで競技終了となった.


問題解説

自分の担当しなかった問題や解けなかった問題の解説が聞けた.


結果発表

残念ながらTop3には入れなかった.
結果発表の後,話を聞くと3位と1ポイント差の4位だったらしく,
あと1問解けていればという感じだったらしい.


懇親会

運営の方や前からよく知っているが遠方に住んでいるため中々会えない
某某某氏と話をしたり出来てよかった.
社員の方に自分の学校のOBが居たのには驚いた.


まとめ

ちゃんとしたサービスに対し攻撃する感じは,
CTFのWeb問とは異なりとても面白かった.
このScrapChallengeでWebセキュリティをもっと学びたいと思えたので
参加してよかったと思う.