セキュリティキャンプ2013
今年はチューターとして参加してきましたー。
Web以外分からんマンなのでWeb組のNW構築に手間取ってしまったり、参加者に近過ぎたり、VM準備遅かったり、色々反省点が……特にVM準備、夜遅くまでやっててすいません……
今年のWeb組では講師陣お手製のSNSを使った攻防戦がメインだったのですが、結構色んな脆弱性が潰されてて驚きました。CSP使って守ったり、パスワードの扱いを丸々改善してたり、結構レベル高かったと思います。あとチュータースペシャルアタックが凄まじかったですね。その発想は無かった、みたいな感じでした。
CTFは……突然の振りによって二問キャンプ期間中に作ったのですが、誘導に失敗しましたごめんなさい。FUNの方は大体予想通りの流れで、直感で解く人やっぱ来たか、とか思ってたんですが、もう一個の方は……。分かってれば出来たわー、みたいな反応してる人が結構居たので、もう少し綺麗な誘導が出来ればなー、とか思ったり。Not SQL But...くらいは言っちゃっても良かったかもしれません。
キャンパーになら一部抜粋して公開しても大丈夫っぽい(?)ので、FUNの方だけで良ければ。(もう一個の方は配るまでも無いコードなのでw)
プレゼンは事故った感満載でしたね。すいません。とりあえずPublic Suffix ListとCSRF対策トークン+ログイン前の強制再生成がアレな事だけ覚えといて下さい。
去年と違って企業見学がありましたが、これも中々面白かったですね。チューターは後ろで名刺交換したり写真撮ったりしてただけですが……('
To 参加者各位
キャンプは終わりましたが(まだn日目の朝カウントされてたりしますが)むしろこっから先が本番です。月並みな言葉ですが、日常の中で何するかに全てがかかってます。某氏のように毎日XSSを見つけたり、ブログを書いたり、時事ネタを追ったりサーベイしたり……。とりあえず顔本で講師陣を捕まえておくと、面白い時事ネタを流してくれるのでめっちゃお勧めです。この機会に是非。
To Webチューターのお二方
僕が至らぬために負担をかけてしまったと思います。色々すいません&ありがとうございました。チュータープレゼンと攻撃デモ、流石でした。(詳しくは書けない悲しみ)
なのでとりあえず宣伝だけ……
つ http://ctf.nash-dev.com/entrance
To NW組のチューターさんと宮本さん
会場のネットワークを支えてくれてありがとうございました。参加者の時はあまり意識しませんでしたが、チューターになって改めて凄いなぁと思いました。
キャンプ協議会の方々、運営局の方々、協賛企業の方々、講師の方々、チューターの方々、そして何より参加者の方々、この素晴らしいキャンプをありがとうございました!