逆転を狙う工大生の日々

絶賛留年中の落ちこぼれがなんとか頑張ろうとしている日記です

セキュリティキャンプ in 名古屋 レポート

f:id:ikuth:20140531232328j:plain

先日から書いてましたが、IPA主催の「セキュリティキャンプ in 名古屋」に参加してきました。

ネットワーク、セキュリティに関する知識がほぼ皆無であった(一応予習としてマスタリングTCP/IP 情報セキュリティ編は読んだが・・・)のでついていけるか大変不安でしたが、理解できない部分は多々あったものの、ユーモアを交えた飽きさせない講義、様々な方から現場や技術のお話を伺えた懇親会どちらも非常に有意義な時間を過ごすことが出来ました。

 

それでは簡単に内容の方をおさらいしていきます。

前半は、Webセキュリティの基礎ということで、「HTTPの教科書」「めんどうすぎるWebセキュリティ」などの著者である上野宣さんから講義を受けました。主に

・遠隔操作事件/CSRF(クロスサイト・リクエストフォージェリ)

・水飲み場攻撃

・パスワードリスト攻撃

についてその概要を教えて頂きました。この時点で分からないワードがいくつかありましたが、どれも知らない前提で説明しながらだったのでとても楽しく学べました。大学の講義もこんな感じなら良いんですけどね!絶対寝ないわ

 

後半は、セキュリティ界では有名な方らしい、はせがわようすけさんから、

①「脆弱性を指摘する人、される人」

②「JavaScriptによるXSS

について学びました(講義タイトルはうろ覚えなのでご容赦を)

 

①では、うっかり見つけてしまった脆弱性に対して発見者はどのような行動をとるべきか、という既に熟練のWeb技術者向けの講義でした。勝手に要約すると

 

発見者「こちらが脆弱性を見つけることは、被発見者からすると不正アクセスにしか思われないので、ヘタすると犯罪者になってしまう。でも脆弱性をそのままにしておくわけにはいかない。どうやって正当に報告するか。」

被発見者「お前不正アクセスしようとしたんだろ?対応は出来ればするけども、こっちの手間も増えるし勘弁してくれ。」

 

という感じですね。現在の業界や世間のセキュリティに対する認識を知りました。これはもっと知識と技術がついてから考えていくことかなww

 

②ではJavaScriptによるXSSを実際のコード例で学びました。基本的なXSS攻撃から、DOM based XSSといった例を話していましたが、正直ちんぷんかんぷんでした。ただJavaScriptとHTMLへの興味が大変わきましたね(理解できなかったのが悔しかったというのが本心です)

 

余談では「アセンブリ短歌」という、バイナリコードを短歌のように5・7・5・7・7にのせて記述し、コンパイルして実行すると文字列なり簡単な処理が実行されるという、もうなんか変態的な文化について話していました。韻とか踏んでました。これを格好良いと思えただけまだ可能性あるんじゃないですかね(適当)

 

最後に懇親会では、今日プレゼンをしていただいた方や、スタッフ、そして参加者の皆さんとお話しました。正直に僕が知識皆無なこと話して、それでも今回の講義はとてもおもしろかった、と言うと喜んでくださいました。他にはみんな大好き○videosへ攻撃するデモを見せてもらえたりしました。みなさんとても饒舌で、なんていうか情報工学系らしいなあと思いました(褒め言葉です)

 

とても興味がわきましたセキュリティとネットワーク、本気で勉強します。

単位「僕を忘れてもらっては困るな」

ぼく「わかってるよ(白目)」