セキュリティ・ミニキャンプin長崎に参加しました
概要
12月14日に長崎県立大学シーボルト校で開催されたセキュリティ・ミニキャンプin長崎の内容や感想をまとめました。
オープニング
会場は我が学科自慢のセキュリティ演習室で行われました。参加受付をして自分の班のテーブルに着きました。自分の班は同じ学科の先輩3名、高校生1名、他大学の学生1名でした。
オープニングでは午後の講義のための準備や技術者倫理についての話がありました。
IoTシステムのセキュリティを設計してみる
IoTシステムをどのように設計すればセキュアになるかを評価シートを用いながら考えるという講義でした。
講師の方から「IoTとはどんなものだと思うか」と訊かれて「最近では家庭だけでなく農業や漁業などいろんなところに使われているもの」という風に答えたらバイナリかるたがもらえました。
バイナリカルタ貰った!!#seccamp pic.twitter.com/OdDP7HO1kM
— Issei (@camera510PC7) 2019年12月14日
講義の中ではIoTのネットワークカメラにどのような機能を持たせ、どのようなネットワークを構築すればよいかということを考え、模造紙に書いて説明するということをしました。
ネットワークカメラのアーキテクチャの設計をグループで行い、会場にいる参加者に向けて発表、議論を行いました。 #seccamp pic.twitter.com/WqtzFN827K
— セキュリティ・キャンプ (@security_camp) 2019年12月14日
昼食
昼食はウィズンの弁当でした。 他の参加者の方や講師の方と話しながら楽しく食べました。
今回の昼食では、午前で行ったワークの振り返りながら、講師やチューターと一緒に交流をしました。 #seccamp pic.twitter.com/fRmqvl3WvU
— セキュリティ・キャンプ (@security_camp) 2019年12月14日
Webアプリケーションフレームワークで学ぶ、Webセキュリティ
VirtualBoxの上のUbuntuにLaravelで構築されたやられWebアプリを起動させて脆弱性を見つけていくという講義でした。
今回使用したやられwebアプリ↓
github.com
二つのWebアプリケーションが用意されていて、最初はログイン画面にSQLインジェクションの脆弱性があるのを見つけて、その脆弱性を修正するということをしました。
そしてもう一つの方は班で脆弱性を見つけて最後にどんなものがあったのかを発表するというものでした。自分はXSSを6つとディレクトリトラバーサルを1つ見つけました。
クロージング・会場移動
最後にアンケートに記入して一旦解散となりました。そのあと、後夜祭のためにCO-DEJIMAに移動しました。セキュリティ・ミニキャンプ in 長崎 2019の全プログラムが終了しました。このキャンプを元にさらにスキルアップをして全国大会や他のミニキャンプでお会いできることを楽しみにしています! #seccamp pic.twitter.com/xiLwV3vZi1
— セキュリティ・キャンプ (@security_camp) 2019年12月14日
移動はなんと県立大学のシャトルバスでした。(あのバス初めて乗った...)
後夜祭
後夜祭では他の参加者やチューターの方といろんな話をすることができました。
自分はLTをしたのですが、その内容は以下の記事にまとめています。
camera510pc7.hatenablog.com
こんな感じのLTをしました。
おっ?#seccamp pic.twitter.com/CZ8Rt2RCsL
— よしみ. (寝る前、薬) (@labo_4423) 2019年12月14日
また、自分以外にチューターの方もLTをされていました。内容はハードウェアハッキングで、やはりレベルは高かったです。
感想
今回自分は初めてセキュリティ・ミニキャンプに参加しました。Webアプリケーションの講義では実際に脆弱性を修正するという貴重な体験ができたのでとても勉強になりました。(普段はCTFで脆弱性を探すことしかしないので...)
また、グループで話し合ってIoTセキュリティを考えるという講義も新鮮で面白かったです。
そして何よりいろいろな人(先輩、他大学の学生の方、高校生の方、講師の方...etc)とコミュニケーションが取れたことがとてもよかったです。
ぜひ来年も全国大会にエントリーしてみようと思います。(今年度は落選でした...)
