Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
SECCON Beginners CTF講習会 参加体験記 meow (id: meow_noisy) 第32回 ゼロから始めるセキュリティ入門勉強会 2019/10/30(水)
Slide 2
Slide 2 text
発表内容 SECCON Beginners主催のCTF講習会に参加したので、 その内容を紹介する 行った感想としては、非常に満足
Slide 3
Slide 3 text
発表の流れ 1. 自己紹介(資料では割愛) 2. SECCON Beginnersとは 3. 講習会の内容 1. オリエンテーション 2. web 3. binary 4. 模擬CTF大会 5. 交流会
Slide 4
Slide 4 text
SECCONとは https://www.seccon.jp/2019/seccon/about.htmlより “情報セキュリティをテーマに多様な競技を開催する情報セ キュリティコンテストイベントです。実践的情報セキュリティ 人材の発掘・ 育成、技術の実践の場の提供を目的として設立 されました。”
Slide 5
Slide 5 text
CTF(Capture The Flag)とは ハッカーの腕くらべのためのコンテスト フラグと呼ばれる文字列をお題から取得することで力量を測る フラグを取得する方法が、世間で言う情報セキュリティの 脆弱性を突く行為を以てすることが多い コンピュータに関する様々な知識が問われる
Slide 6
Slide 6 text
どんな問題があるの? 第8回CTF勉強会.pdfより
Slide 7
Slide 7 text
SECCON Beginnersとは https://www.seccon.jp/2019/beginners/about-seccon- beginners.htmlより “日本国内の CTF のプレイヤーを増やし、人材育成とセキュリ ティ技術の底上げを目的としたCTF未経験者向け勉強会です。 海外のCTF でも上位に入る若手のCTFプレイヤーにより運営さ れており、CTF未経験の方でも CTF に参加できるよう、わかり やすくセキュリティ技術を教えるワークショップとなっており ます。” CTFは初心者の参入障壁が高いと思っているので、 こういうイベントは本当にありがたいです
Slide 8
Slide 8 text
2019年のスケジュール 関東開催回に 参加 https://www.seccon.jp/2019/beginners/about-seccon- beginners.htmlより
Slide 9
Slide 9 text
開催プログラム オリエンテーションの後、講義2つと模擬CTF大会があった https://www.seccon.jp/2019/seccon_beginners/seccon_ beginners_2019_tokyo.htmlより
Slide 10
Slide 10 text
会場 東京都立産業技術高等専門学校 品川キャンパス
Slide 11
Slide 11 text
会場 講堂で受講。4人で1グループ。 SECCON Beginners twitter投稿より
Slide 12
Slide 12 text
講義資料、仮想環境 pdf, VM(OS: Kali) 参加者限定で事前に配布 再配布は禁止 資料は前提知識の説明から始まっており、非常にわかりやすい
Slide 13
Slide 13 text
発表の流れ 1. 自己紹介(資料では割愛) 2. SECCON Beginnersとは 3. 講習会の内容 1. オリエンテーション 2. web 3. binary 4. 模擬CTF大会 5. 交流会
Slide 14
Slide 14 text
オリエンテーション 講師: @lmt_swallowさん 内容 CTFとは何か 倫理面 攻撃の技術を持っているからこそ、勉強には大きな責任が伴う 力試しに攻撃はしてはいけない なぜエンジニアは攻撃を行わないのか。 法的抑止力。許可なく他人の認証情報でアクセスしない。認証を不正に突破し ない。制限機能を利用しない。ウイルスつくらない。形式犯。言い訳はどうこ う、成立するとアウト。 技術的こだわり。 公正・誠実たれ ホワイトハッカーの信念を垣間見る
Slide 15
Slide 15 text
講義1: Web 講師: @ytn86さん 内容 理論: XSSの仕組み サーバではなく、クライアントに対する攻撃となる XSSに引っかかってみる alert()が起動する 実践: XSS脆弱性のある記事投稿(模擬)サイトへの攻撃 タグをエスケープしないフォームに対し、ペイロードを作成して投稿 admin(を模したクローラー)の情報を自サイト(requestsbin)のアクセスログで取 得 XSSの対策 CSP
Slide 16
Slide 16 text
講義2: Binary 講師: @ptrYudaiさん 内容 理論: バイナリファイルの解析 動的、静的、表層 コンピュータのプログラム実行方法(CPUとメモリでどう情報を処理してい るか) アセンブリの読み方(命令セット、その際のCPUの挙動) 実践: 処理の流れを解析し、ハードコードされているパスワードを推定 表層解析: strings, fileコマンド 静的解析:IDA 動的解析: gdb
Slide 17
Slide 17 text
模擬CTF大会 ジョパディ形式で実際に問題を解いてみる ジャンルは、Web, Binary, Misc 一応、参加者同士でポイントを競う
Slide 18
Slide 18 text
問題難易度 本番よりも抑えているとのこと 前半は講義のおさらいの形 後半は応用
Slide 19
Slide 19 text
[備考]CTF本場再現(?)の妨害 大音量のBGM 誰かが問題を解いた瞬間にビープ音がなる 講師陣が、講義で寄せられた質問に模試中に回答する 本戦では、運営がディスプレイを覗き込んできたり、 隣でスマブラをやりはじめるらしい
Slide 20
Slide 20 text
write-up time と 表彰式 試験終了後は、回答できた人に、解法を説明する時間があった 上位3名に、SECCON特別Tシャツがプレゼントされた 全問中1問落とした程度の正当数
Slide 21
Slide 21 text
懇親会 せっかくなので他の人にバックグラウンドを訊いてみた どこからきたの? 東京、神奈川、埼玉 何でCTFを知ったの? サークルの先輩がやってた、 なにか始めたくて”セキュリティ コンテ スト”でググった、研究室がセキュリティ関係で情報が入ってきた ちなみに私はicchyさん(TokyoWesterns)の発表で知った どういう所に所属しているの? 大学生でコンピュータ関連サークル、社会人でセキュリティ部門に勤務 (・予定)
Slide 22
Slide 22 text
参加してみた感想 運営規模がすごい 問題サーバ、回答サーバの用意 この上ないほどに、初心者に懇切丁寧な説明で配慮が行き届い ている 講師陣が怖いくらいに謙虚 理論と実践の配分がちょうどよい 次の勉強手段への橋渡しになっている 地方を限定すれば、1年に1回の希少なイベント 参加できてよかった。 見逃さないようにメルマガのサブスクをしたほうがよさそう
Slide 23
Slide 23 text
おわりに SECCON Beginners主催のCTF講習会の内容を説明した CTFの勉強の取っ掛かりとして最適だった
Slide 24
Slide 24 text
ご清聴ありがとうございました