夏のmixi Scrap Challenge 2014が開催されるので今年1月に開催したScrap Challenge2013でやったこと書く

夏のmixi Scrap Challenge2014が開催されるようです。
Scrap Challenge 2014 | 株式会社ミクシィ 学生向けエンジニアイベント

これに合わせて、放置していた 今まで温めておいたメモを書き起こし、記事を公開します。
結論から言うと、めちゃくちゃ楽しかったので行かなきゃ損です。

皆さんにはmixi Scrap Challengeに興味を持っていただき、大学3年生以下の方々にはぜひ参加していただきたいです。

応募のきっかけ

このイベントが開かれた年度にはセキュリティキャンプ2013中央大会に参加しており、私はネットワークセキュリティクラスだったんですが、
Webセキュリティクラスに凄くキャラが濃くてXSSヤバイ八木なんとかさんがいたのがキッカケで私もWebセキュリティに興味を持ち、
9月からちょいちょい勉強していた時にこのイベントのことを知ったからです。
また、mixiのサービスの脆弱性を報告して10万円貰ったこともあり、mixiについて良く知りたかったのもあります。
地方の貧乏学生の私には交通費が半額でたのも最高でしたね。

やったこと

概要

午前中の講習は、新卒の新人教育の2(3)日間のセキュリティ講習を、ぎゅっと30分に詰め込んだもの。
午後にScrap Challengeを行い、優勝者にはトロフィーを進呈。最後に懇親会を行う。

午前(前半)

講習を受けながらメモをしたので間違っているかもしれませんが勘弁してつかあさい。

mixiが被害を受けた数々のセキュリティインシデント

はまちちゃん
ソースコード流出
・メールアドレスをID紐付け事件

この3つのセキュリティインシデントは元々知っていた。


オススメ文献の紹介
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
SBクリエイティブ:体系的に学ぶ 安全なWebアプリケーションの作り方(徳丸本)

午前(後半)

XSS

エスケープ処理について


キャンプ初日のランチのテーブルでやぎはしゅがニヤニヤしながらテレビ局の人に説明してたの思い出す。

CSRF

mixiモールにログイン中、メールで送られてきたURLをクリックしただけで徳丸本の注文が完了するなど

入力、確認、官僚的なフローのページ群ならば、完了のページのみ対策が必要
対抗策→セッション、hiddenパラメータ、POST専用にする、直前ページにパスワード入力を促す

SQLインジェクション

sql="select from users where name = {$name} amd pass={$pass};
対抗策→プレースホルダ(バインド機構、プリペアドステートメント)(厳密には異なる)

kvsやnosqlに対するインジェクション

memcachedや他のkvs、nosqlについてもsqlインジェクションのような攻撃がありうる
memcachedは正しいエスケープを行わないといけないため対策が難しい

オープンリダイレクタ

・http locationヘッダ
htmlのmeta要素
参考文献→徳丸本p184
脅威→フィッシング
対抗策→リダイレクト先を固定、外部からURLを指定できる仕様を改める、リダイレクト先のドメインを固定にする
httpヘッダインジェクションは防げない場合がある(0x0D0x0A)

脆弱性に対する基本的な対処

だいたいの脆弱性は正しい出力を行うことで防げる。
→何が正しいかは状況に応じて変わる。


Scrap Challenge簡単なチュートリアル

午後の本題のScrap Challengeについての説明。




・・・以上のことを30分で全てやりました。駆け足です。

昼ごはん

さすが、金かかってるわー

午後(Scrap Challenge)

Scrap Challengeのためにわざわざ用意された脆弱性付きのmixiに好き放題ハッキングできます。
f:id:shutingrz:20140810045337p:plain

      • -

3人一組でチームを組んでやりました。
Scrap Challengeの問題は午前中に講師の方から教えてもらった脆弱性を突くものしかありませんでした。
といっても午前中の講習はたった30分のみなので、習ったからといって解ける問題ではなく、ノー勉で行くと人権が無くなるので気をつけてください。
まあキャンプ終了後適当に4ヶ月しか勉強していない俺でも行けたので気張らなくてもいいです。


ネタバレしちゃうと今回応募する人がつまらなくなってしまうのでチュートリアル問題だけ。

問題例 -チュートリアル-

000 ( 0pt )

プロフィール(show_profile.pl)のXSS脆弱性を利用して、開くと任意の文字列がアラートされるようなURLを鴨ネギ-男に送ってください

結果

なんとか優勝できました。チームにSQLインジェクション神の子がいたため、2位以降と大きな差をつけて勝てました。感謝。
優勝したチーム全員にトロフィーが貰えます。

f:id:shutingrz:20140810045830j:plain
こんなやつです。スゲーかっこいい。

懇親会

最後に懇親会をしました。


お酒の量、寿司の量、お菓子の量、mixiからもらったアメニティの量、全てが半端無かったです。
余ったやつは好きに持ち帰って良かったので貧乏学生の俺はいっぱいいただきました。

感想

優勝出来て良かったです。

また、私の場合なんですが、大学3年生の1月にこのイベントがありまして、その後2月にこの御縁で人事の方から採用面接のお誘いをいただき、
書類選考、集団面接、人事面接を全て受けずに(スキップし)、技術者面接から選考を受けてほしいと言われました。
インターンはその企業の選考に有利になるという噂は聞いていましたが、まさかここまで飛び級で面接が受けられるとは・・・。
結果から言えば役員面接も通って内々定をいただくことができました。
(ですがすみません私が就職予定の会社はmixiではありません。本来私が志望していたネットワークセキュリティ業界の企業になります。)

人事の方もとてもいい方ばかりでした。就活している中で一番親身になってくれたかも?
このように就活を控えている大学生3年生以下の皆さんも受けてみるといいかも知れません。


開催日時は、
2014年8月23日(土) 11:00-19:00 で、


応募締め切りは、
2014年8月14日(木) 23:59です。
関東圏外の地方の方は交通費が半額出ます。



また、最後になりましたが、mixiの方々、本当にありがとうございました。