妄想まとめ

研究とかWebセキュとか時事ネタとか。 @kazu1130_h

セキュリティキャンプ2013

今年はチューターとして参加してきましたー。

 

Web以外分からんマンなのでWeb組のNW構築に手間取ってしまったり、参加者に近過ぎたり、VM準備遅かったり、色々反省点が……特にVM準備、夜遅くまでやっててすいません……

 

今年のWeb組では講師陣お手製のSNSを使った攻防戦がメインだったのですが、結構色んな脆弱性が潰されてて驚きました。CSP使って守ったり、パスワードの扱いを丸々改善してたり、結構レベル高かったと思います。あとチュータースペシャルアタックが凄まじかったですね。その発想は無かった、みたいな感じでした。

 

CTFは……突然の振りによって二問キャンプ期間中に作ったのですが、誘導に失敗しましたごめんなさい。FUNの方は大体予想通りの流れで、直感で解く人やっぱ来たか、とか思ってたんですが、もう一個の方は……。分かってれば出来たわー、みたいな反応してる人が結構居たので、もう少し綺麗な誘導が出来ればなー、とか思ったり。Not SQL But...くらいは言っちゃっても良かったかもしれません。

キャンパーになら一部抜粋して公開しても大丈夫っぽい(?)ので、FUNの方だけで良ければ。(もう一個の方は配るまでも無いコードなのでw)

 

プレゼンは事故った感満載でしたね。すいません。とりあえずPublic Suffix ListとCSRF対策トークン+ログイン前の強制再生成がアレな事だけ覚えといて下さい。

 

去年と違って企業見学がありましたが、これも中々面白かったですね。チューターは後ろで名刺交換したり写真撮ったりしてただけですが……('

 

 

To 参加者各位

キャンプは終わりましたが(まだn日目の朝カウントされてたりしますが)むしろこっから先が本番です。月並みな言葉ですが、日常の中で何するかに全てがかかってます。某氏のように毎日XSSを見つけたり、ブログを書いたり、時事ネタを追ったりサーベイしたり……。とりあえず顔本で講師陣を捕まえておくと、面白い時事ネタを流してくれるのでめっちゃお勧めです。この機会に是非。

 

To Webチューターのお二方

僕が至らぬために負担をかけてしまったと思います。色々すいません&ありがとうございました。チュータープレゼンと攻撃デモ、流石でした。(詳しくは書けない悲しみ)

なのでとりあえず宣伝だけ……

つ http://ctf.nash-dev.com/entrance

 

To NW組のチューターさんと宮本さん

会場のネットワークを支えてくれてありがとうございました。参加者の時はあまり意識しませんでしたが、チューターになって改めて凄いなぁと思いました。

 

 

キャンプ協議会の方々、運営局の方々、協賛企業の方々、講師の方々、チューターの方々、そして何より参加者の方々、この素晴らしいキャンプをありがとうございました!