「Webハッキング体験 forビギナーズ」に参加してきました – CODE BLUE 2022 #codeblue_jp

こんにちは、臼田です。

みなさん、セキュリティの勉強してますか？(挨拶

今回はCODE BLUE 2022で行われた「Webハッキング体験 forビギナーズ」に参加してきたので簡単に感想とかをまとめます。

このコンテンツはGMOサイバーセキュリティbyイエラエ株式会社さんが提供しています。

概要

サイトの概要文には以下のようにあります。

Webサイトに脆弱性をいくつか埋め込みました。その脆弱性を使い、システムへの侵入にチャレンジしていただきます！ 初心者向けの内容となっておりますが、よく耳にするSQLインジェクションやOSコマンドインジェクションなどの脆弱性が攻撃にどのように使えるのかを自らの手で体験し、システムを守る際の参考にしていただければと思います。

実際の当日のブースはこんな感じで設営されていました。

GMOのCTFやったぁ #codeblue_jp pic.twitter.com/tZipkNzNwd

— ウシ (@totsugeki_tai) October 27, 2022

机にいくつかPCも設置されていて、そちらからチャレンジすることもできますし、持ちこんだPCを利用することも可能でした。

すべての問題に正解すると、先着で本がプレゼントされていました。

GMO サイバーセキュリティbyイエラエ　Webハッキング体験forビギナーズ

本日は、16時まで開催しております。
なお、全問正解者先着10名に本をお配りしております！
本日分は、残り7冊となりました〜！#codeblue_jp pic.twitter.com/x8Aa9zR761

— ひのしば / ShungoKumasaka (@hinoshiba) October 28, 2022

どんな感じだったか

今回は具体的な問題の内容については触れずに、感想ベースに紹介していきます。

タイトルにある通りfor ビギナーズということで、普段セキュリティの事自体はある程度耳にしているけど、実際に体験したことがない人などが手を動かしながら学べるコンテンツでした。

具体的な脆弱性としてはSQLインジェクションやOSコマンドインジェクションなどがあり、攻撃してフラグを取得するというCTF形式です。

ヒントも充実しているので、ステップバイステップで学習する使い方もできると思います。

最後の方の問題は少し難しく、私は最後の問題だけしばらく解けずに時間を溶かしてしまいました。最終的には全問解けましたが、残念ながら先着には間に合いませんでした。

実際にアクセスするWebサイトがあり、ログインフォームからアプローチしたり、サーバーに直接アプローチしたり、いろんな攻撃フェーズを体験できました。

問題数や問題の詳細な内容は扱いませんが、一応満点の230点を取ったとこだけはスクショを載せておきます。

まとめ

「Webハッキング体験 forビギナーズ」の概要と感想を紹介しました。

非常に楽しかったです！

おそらくGMOサイバーセキュリティbyイエラエ株式会社さんが、他の場所でも展開される事があると思うので、チャンスがあればぜひチャレンジしてみてください！