こんにちは。

今回は、MBSDという三井物産セキュアディレクション主催のセキュリティコンテストに参加しましたので、その報告となります。

内容は、

• 参加者に、課題となるオンラインWebサービスのシステム(Linux VM)と、Webアプリケーションのソースコード(PHP)を配布します。
• このシステムに潜む脆弱性を見つけ、開発者に対して脆弱性を指摘するレポートを作成してください。
• 各報告には、現象の再現方法・攻撃による想定被害・対策方法の提案を含めてください（報告レポートのフォームを提供しますが、任意に書いてもかまいません）。
• セキュリティの問題と思われるものであれば、どのような問題を報告してもかまいません。PHPアプリに限りません。OSやネットワークなどにも問題があれば報告してください。画面構成・デザイン・パフォーマンスの問題など、セキュリティに影響のない問題は報告不要です。

というものでした。詳細は下記のサイトで見てください。

システムに潜む脆弱性を探し出せ！！ MBSD Cybersecurity Challenges｜専門学校と経営：専門学校の経営者・広報・就職担当者の情報サイト

メンバー

今回は初の1年生のみのチームでした。

1年生4人のチーム。

役割分担は、私がコードを読み、DB、XXS、CSSXXSが、各1人ずつでした。

期間

与えられた期間は2週間ほどでした。HTML、CSS、PHPは全員触ったことがなかったため、最初の1週間はメンバーの勉強の進捗を管理しながら、配布されたコードを読む作業でした。残りの1週間は攻撃を調べては試しの繰り返しでした。

結果

発見できた脆弱性は10個ほどでした、そのほとんどがメンバー1人によるものでした。

私はコードからは1個も発見できなかったです。とても悔しい結果になりました。

感想

セキュリティの大会は初参加でしたが、予想以上に難しく、毎日作業しては結果が得られない苦しい日々が続きました。また、リーダーを努めたのも初めてで、自分の指揮能力のなさも痛感しました。自分自身作業が全然できずにいました。しかしメンバーの内の1人がうまくツールを使い、脆弱性を見つけてくれたので、レポートが提出できないという最悪の事態は避けることができました。

その後、先輩と勉強会を開き、先輩の見つけた脆弱性の解説をしていただき、とても勉強になりました。CVEを知ることができたのも大きいです。

HTML、CSS、PHPの勉強の機会になっただけでなく、自分自身と深く向き合うきっかけにもなったので、参加して本当によかったです。