セキュメロ＃７にいってきた

1/10（１１０番の日）に、セキュメロ＃７に行ってきました。

うちの家の周辺は雪がちらつく程度だったのに、神戸は大雪です。気温もひょっとしたら神戸のほうが低かったかも！？

と天気のことはおいといて、今回は擬似環境上でSQLインジェクションやOSコマンドインジェクションなどなど実際に探してやってみようよ！という趣向。Ｗｅｂアプリケーション技術者としては興味深々です。

以前某セミナーで同じようなことをやっているのですが、そのときは

今回の課題は「ディレクトリトラバーサル」の脆弱性があります。みたいな感じで事前に攻撃手法の説明があってから、さぁ！使ってみましょう！という感じ
＃その代わり、単純なディレクトリトラバーサルじゃなくって不完全なIDSが実装されてるところがちょっと難しいのですが。。。

大体想像ができたのですが、今回は事前に３つの脆弱性の説明があったあとで、さぁどうぞ！という感じの実践でしたが、攻撃手法が１つに絞れないだけで一気に難しくなりました。

結局「どこにどんな脆弱性があるよ」というようにほとんど答えやん！っていうようなヒントをもらわないと攻撃できない有様。まだまだ修行？が足りませんな。

あとは、なんかブラウザの調子が悪かったのかよくダンマリになってしまったというのと、なんか目の色変えてアタックするのも恥ずかしいなーなんてシャイなことを思ってたりしたので、出足が遅かったというのもありますが。。。

でもこういう脆弱性は、やっぱり使い方を知らないと本当の脅威もわかりません。XSSだってタグが埋め込めるんでしょ？って言われてるけどどのように悪用されるのか？まで知らない人は結構多いです。

社内でもそういう人結構いるので、一度シナリオ作って社内でやってみようかなーなんて思ってます。

ガンバロー。なんだか自己啓発チックです（笑）

後半のセキュメロ名物、グループディスカッションでは、６回参加しておきながら初めて発表者に。。。。

いつもはぼーっと人の話を聞きながら参加していましたが、今回はそういうわけには行かず、必死の人を意見を整理していきます。なんとかよくわからないなりにまとめて（まとまってなかったけど。。。）発表することができましたが、こちらも修行が足りませんね。

意見を整理しつつファシリテートされるような方も大勢いらっしゃいます。

何はともあれ今回は色々勉強になりました。

いつも会場を提供していただいてるCMUJのスタッフの皆さん、スタッフの皆さん、発表されたまっちゃさんには、感謝感謝です。

次回もよろしくお願いしまーす。