読者です 読者をやめる 読者になる 読者になる

セキュリティ・ミニキャンプ in 近畿 2017 に参加してきました

セキュリティミニキャンプ in 近畿 2017 の一般講座と専門講座に参加してきました.

まとめ

  • 一般講座
  • 専門講座
  • 最後に

一般講座

「国家が関与するサイバー攻撃の実態理解」

内容は書けませんが、普段は聞けないような色々な話があって、あと1時間くらい追加で講演して欲しいと思うくらい面白かったです。

「と或るセキュリティエンジニアの解説書」

セキュリティエンジニアになるまでのことと、セキュリティエンジニアになってからのことについての講演でした。エンジニアは技術に固執しがちだけれど、顧客の立場から考えることが一番大切という話を聞いて、どこの技術者も変わらないんだなと思いました。

「作るだけでは終わらない!〜安全なウェブサイト管理〜」

IPAのエンジニアの方による脆弱性の種類、トレンド、包括的な脆弱性の対処法などでした。 一般講座ということもあって、主にウェブサイトの管理者を対象にしてるようでした。

「サイバー捜査官をめざして」

京都府警のサイバー犯罪対策課の方によるサイバー犯罪の歴史とその対処についての講演でした。わいせつデータをいかにして法律で扱うようになったか、Winnyや流出系のウイルス、擬律判断などの話がありました。また、よくインターネット上で言われる「サイバー捜査官に捕まえたクラッカーを雇えばよいのでは」という意見を「正義感のないやつには無理」と一蹴していて、なるほど確かにという感じでした。

専門講座

「Webセキュリティ・はじめの一歩」

Webの脆弱性に関する説明を受けて、実際に用意されたデモサイトで試す、という形の講義でした。 SQLインジェクションXSS、動作確認用のphpinfoやApacheなどによる情報収集などがありました。全員同じデモサーバーでやっていたので、誰かが試したXSSで外部サイトに強制的にリダイレクトさせられて、そもそもデモサーバーにアクセスできない、みたいなある意味XSSの危険性を実感できるトラブルもあって楽しかったです。

昼食

🙏

「オンラインゲーム アタック&ディフェンス体験」

前半は、WebSocketとJavaScriptで作られた簡単な複数人型のオンラインゲームに対して、実際にチートとチート対策を行い、後半はチートや自動化の対策や是非について考えるという構成の講義でした。 チートといっても難読化などはなく、JSからレベルアップする関数を見つけて、ブラウザのJSコンソールからsetInterval(levelup_func, 5000) とかすると自動的にLvが上がる感じでした。データの不整合を起こして無理矢理全員の接続を切断させている人も居たようです。 実際に存在するゲームにチート行為を行うというのは、なかなかできない体験なのでとても新鮮でした。

おまけ

専門講座の会場にありました。

最後に

講師の方々、 チューターの方々、 そして今回のミニキャンプに関わる全ての方々、 本当にありがとうございました。